Le impostazioni di controllo di sicurezza non vengono applicate ai computer basati su Windows Vista e windows server 2008 quando si distribuiscono criteri basati su dominio

Questo articolo fornisce assistenza per risolvere un problema per cui le impostazioni di controllo della sicurezza non vengono applicate ai computer client in un dominio di Active Directory quando si distribuiscono criteri basati su dominio.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 921468

Sintomi

Considerate il seguente scenario: Si distribuiscono criteri basati su dominio per configurare le impostazioni di controllo della sicurezza nei computer basati su Windows Vista o windows server 2008 in un dominio del servizio directory active directory. Si esegue lo strumento Set di criteri risultante (RSoP) in uno dei computer basati su Windows Vista o windows server 2008. Quando si esegue questa operazione, lo strumento RSoP indica che i criteri vengono applicati. Tuttavia, i criteri non vengono effettivamente applicati a uno o più computer basati su Windows Vista o windows server 2008.

Causa

Questo problema si verifica se l'impostazione del criterio "Forza impostazioni sottocategoria dei criteri di controllo (Windows Vista o versioni successive) per ignorare le impostazioni delle categorie di criteri di controllo" è abilitata in Windows Vista o in Windows Server 2008. L'impostazione dei criteri può essere abilitata usando Criteri di gruppo o manualmente modificando il Registro di sistema.

Per risolvere il problema, utilizzare uno dei metodi seguenti, a seconda della situazione.

Risoluzione 1: disabilitare l'impostazione dei criteri usando Criteri di gruppo object Editor

Verificare che l'impostazione dei criteri sia stata abilitata usando Criteri di gruppo e quindi disabilitare l'impostazione dei criteri usando Criteri di gruppo object Editor. A tal fine, attenersi alla seguente procedura:

1. Verificare che l'impostazione del criterio "Forzare le impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versioni successive) per ignorare le impostazioni delle categorie di criteri di controllo" sia stata abilitata usando Criteri di gruppo. A tal fine, attenersi alla seguente procedura:

   1. Nel computer fare clic su Start, scegliere Tutti i programmi, Accessori, Esegui, digitare rsop.msc nella casella Apri e quindi fare clic su OK.
   2. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni di sicurezza, Criteri locali e quindi fare clic su Opzioni di sicurezza.
   3. Fare doppio clic su Controlla: forzare le impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versioni successive) per ignorare le impostazioni delle categorie di criteri di controllo.
   4. Verificare che l'impostazione dei criteri sia impostata su Abilitato e quindi prendere nota dell'oggetto Criteri di gruppo ( GPO).

2. Disabilitare l'impostazione "Forza impostazioni sottocategoria dei criteri di controllo (Windows Vista o versioni successive) per ignorare le impostazioni delle categorie di criteri di controllo" nell'oggetto Criteri di gruppo. A tal fine, attenersi alla seguente procedura:

   1. In Criteri di gruppo Editor Object aprire l'oggetto Criteri di gruppo.
   2. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni di sicurezza, Criteri locali e quindi fare clic su Opzioni di sicurezza.
   3. Fare doppio clic su Controlla: forzare le impostazioni della sottocategoria dei criteri di controllo (Windows Vista o versioni successive) per ignorare le impostazioni delle categorie di criteri di controllo.
   4. Fare clic su Disabilitato e quindi su OK.

3. Riavviare il computer o i computer.

Risoluzione 2: disabilitare l'impostazione dei criteri usando il registro di sistema Editor

Per disabilitare manualmente l'impostazione dei criteri usando Editor del Registro di sistema, seguire questa procedura:

1. Accedere a Windows Vista o Windows Server 2008 come utente membro del gruppo Administrators.
2. Fare clic su Start, scegliere Tutti i programmi, Accessori, Esegui, digitare regedit nella casella Apri e quindi fare clic su OK. Se la finestra di dialogo Controllo account utente viene visualizzata sullo schermo e richiede di elevare il token di amministratore, fare clic su Continua.
3. Individuare e selezionare la sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
4. Fare clic con il pulsante destro del mouse su SCENoApplyLegacyAuditPolicy e quindi scegliere Modifica.
5. Digitare 0 nella casella Dati valore e quindi fare clic su OK.
6. Uscire dall'editor del Registro di sistema.
7. Riavviare il computer.

Ulteriori informazioni

Windows Vista e versioni successive di Windows consentono di gestire i criteri di controllo in modo più preciso usando le sottocategorie dei criteri di controllo. Se si configurano i criteri di controllo a livello di categoria, si esegue l'override delle sottocategorie dei criteri di controllo.

Se si desidera gestire i criteri di controllo usando le sottocategorie dei criteri di controllo e non si vuole usare Criteri di gruppo, è possibile configurare la voce del Registro di sistema SCENoApplyLegacyAuditPolicy. Quando si configura la voce del Registro di sistema SCENoApplyLegacyAuditPolicy, è possibile impedire l'applicazione di criteri di controllo a livello di categoria configurati tramite Criteri di gruppo o lo strumento Criteri di sicurezza locali.

Tenere tuttavia presente che l'impostazione dei criteri potrebbe non essere applicata se è configurato un criterio diverso per sostituire i criteri di controllo a livello di categoria.