DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 921469 - Ultima modifica: venerdì 17 novembre 2006 - Revisione: 2.1

Informazioni beta
Nel presente articolo viene illustrata una versione beta di un prodotto Microsoft. Le informazioni contenute in questo articolo vengono fornite "nello stato in cui si trovano" e sono soggette a modifiche senza preavviso.

Per questo prodotto beta Microsoft non fornisce alcun tipo di supporto formale. Per informazioni su come ottenere supporto per una versione beta, consultare la documentazione fornita con i file del prodotto beta oppure visitare il sito Web dal quale è stata scaricata la versione del prodotto.

In questa pagina

Sommario

In questo articolo viene descritto come utilizzare i Criteri di gruppo per configurare impostazioni di controllo della protezione per computer client Windows Vista in un dominio di Windows Server 2003 o di Windows 2000. In Windows Vista è possibile gestire criteri di controllo a un livello più dettagliato utilizzando sottocategorie del criterio di controllo. In questo articolo viene descritta una procedura che gli amministratori possono utilizzare per distribuire un criterio di controllo personalizzato in grado di applicare impostazioni di controllo della protezione dettagliate per computer client Windows Vista.

INTRODUZIONE

In questo articolo viene illustrato come utilizzare i Criteri di gruppo per configurare impostazioni di controllo della protezione dettagliate per computer client Windows Vista in un dominio di Windows Server 2003 o di Windows 2000. In Windows Vista è possibile un controllo maggiore delle sottocategorie del criterio di controllo individuali rispetto alle versioni precedenti dei sistemi operativi Windows. Le singole sottocategorie del criterio di controllo disponibili in Windows Vista non sono visibili nell'ambito dell'interfaccia degli strumenti Criteri di gruppo. Gli amministratori possono utilizzare la procedura riportata in questo articolo per distribuire un criterio di controllo personalizzato applicabile alle impostazioni di controllo della protezione dettagliate nei computer client Windows Vista di un dominio di Windows Server 2003 o di Windows 2000.

Informazioni

Aspetti da considerare

Di seguito vengono riportati alcuni aspetti da considerare prima di attenersi alla procedura riportata in questo articolo:
  • Nella procedura viene utilizzato codice di esempio che utilizza la condivisione Netlogon. Il codice di esempio utilizza, inoltre, la cartella %SystemRoot%\Temp come cache.
  • Nella procedura viene utilizzato il dominio di esempio Contoso.com.
  • Per l'utilizzo di questa procedura si presuppone che si sia in presenza delle seguenti condizioni:
    • Conoscenza degli strumenti e delle tecnologie seguenti:
      • Script di avvio di Criteri di gruppo
      • Console Gestione Criteri di gruppo
      • Utilità da riga di comando Auditpol.exe
    • Conoscenza di base dell'elaborazione di file batch.
    • Possibilità di configurare un criterio di controllo per computer client Windows Vista in un dominio di Windows Server 2003 o di Windows 2000. Il criterio di controllo viene assegnato al criterio dominio predefinito.
  • Conoscenza degli script utilizzati nel corso della procedura per sostituire le impostazioni del criterio di controllo basate sul dominio con le impostazioni del criterio di controllo dettagliate disponibili in Windows Vista. Se non si desidera configurare le impostazioni del criterio di controllo dettagliate disponibili in Windows Vista, non utilizzare la procedura illustrata in questo articolo.

Utilizzo dei Criteri di gruppo per configurare le impostazioni del criterio di controllo dettagliate per computer client Windows Vista

Per utilizzare Criteri di gruppo per configurare impostazioni del criterio di controllo dettagliate per computer client Windows Vista in un dominio di Windows Server 2003 o di Windows 2000, attenersi alla seguente procedura.

Passaggio 1: Determinare le impostazioni di controllo della protezione che si desidera distribuire nei computer client di Windows Vista

  1. Accedere a un computer che esegue Windows Vista come utente dotato di credenziali di amministratore.
  2. Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi, quindi fare clic su Esegui come amministratore.
  3. Nella finestra di dialogo Controllo dell'account utente fare clic su Continua.
  4. Cancellare le impostazioni del criterio di controllo predefinite. A tal fine digitare la riga seguente al prompt dei comandi e premere INVIO:
    auditpol /clear
  5. Utilizzare l'utilità da riga di comando Auditpol.exe per configurare le impostazioni del criterio di controllo personalizzate desiderate.

    Al prompt dei comandi digitare ad esempio le seguenti righe. Premere INVIO dopo ogni riga.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    Nota Per visualizzare tutte le possibili categorie e sottocategorie digitare la riga seguente al prompt dei comandi, quindi premere INVIO:
    auditpol /list /subcategory:*
  6. Digitare la riga seguente al prompt dei comandi, quindi premere INVIO:
    auditpol /backup /file:auditpolicy.txt
  7. Copiare il file Auditpolicy.txt nella condivisione Netlogon del controller di dominio che contiene il ruolo Emulatore del controller di dominio primario (PDC).

    Il file Auditpolicy.txt contiene tutte le impostazioni del criterio di controllo configurate. Lo script di avvio utilizza questo file per riapplicare il criterio. Dopo aver applicato correttamente lo script di avvio una volta, non sarà necessario riavviare il computer per aggiornare le impostazioni del criterio di controllo. Per aggiornare le impostazioni del criterio di controllo, sovrascrivere la versione precedente del file Auditpolicy.txt copiato nella condivisione Netlogon. Per effettuare questa operazione, creare un nuovo file Auditpolicy.txt, quindi copiarlo nella condivisione Netlogon.

Passaggio 2: Impedire che il criterio di controllo del dominio legacy sovrascriva il criterio di controllo in computer client Windows Vista

Per impedire che il criterio di controllo del dominio legacy sovrascriva il criterio di controllo, è necessario attivare l'impostazione del criterio Controllo: imposizione delle impostazioni di sottocategoria del criterio di controllo (Windows Vista o versione successiva) per sostituire le impostazioni di categoria del criterio di controllo. Ciò impedisce al criterio di controllo basato sul dominio di sovrascrivere impostazioni del criterio di controllo dettagliate in computer client Windows Vista. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. In un computer client Windows Vista aggiunto al dominio, aprire il criterio dominio predefinito.
  2. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni protezione, quindi Criteri locali e infine Opzioni di protezione.
  3. Fare doppio clic su Controllo: imposizione delle impostazioni di sottocategoria del criterio di controllo (Windows Vista o versione successiva) per sostituire le impostazioni di categoria del criterio di controllo.
  4. Fare clic su Attivato, quindi scegliere OK.

Passaggio 3: Creare script e aggiungerli alla condivisione Netlogon

Microsoft fornisce esempi di programmazione a scopo puramente illustrativo, senza alcuna garanzia di qualsiasi tipo, sia espressa che implicita, ivi incluse, senza limitazioni, le garanzie implicite di commerciabilità o idoneità per uno scopo particolare. In questo articolo si presume che l'utente conosca il linguaggio di programmazione in questione e gli strumenti utilizzati per creare ed eseguire il debug delle procedure. Gli esperti Microsoft sono autorizzati a fornire spiegazioni in merito alla funzionalità di una particolare procedura, ma in nessun caso a modificare questi esempi per fornire funzionalità aggiuntive o a creare procedure atte a soddisfare specifiche esigenze.
  1. Creare lo script AuditPolicy.cmd. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Avviare il Blocco note e aprire un documento vuoto.
    2. Incollare il seguente codice nel documento del Blocco note:
      @echo off
      
      REM AuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      REM Should be run as a startup script from Group Policy
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Copy Script & Policy to Local Directory or Terminate
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Create Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Failed to create scheduled task for Audit >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Created scheduled task for Audit >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Start Named Scheduled Task to Apply Policy
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Failed to execute scheduled task for Audit >> %AuditPolicyLog%
      ) else (
          echo Executed scheduled task for Audit >> %AuditPolicyLog%
      )
    3. Scegliere Salva dal menu File.
    4. Nella casella Salva come fare clic su Tutti i file, digitare AuditPolicy.cmd nella casella Nome file, quindi scegliere Salva.
  2. Creare lo script AuditPolicy.cmd. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Avviare il Blocco note e aprire un documento vuoto.
    2. Incollare il seguente codice nel documento del Blocco note:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      REM (c) 2006 Microsoft Corporation.  All rights reserved.
      REM Sample Audit Script to deploy Windows Vista
      REM Granular Audit Policy settings.
      
      
      REM ###################################################
      REM Declare Variables so that we only need to edit file
      REM names/paths in one location in script
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Clear Log & start fresh
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Check OS Version
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo OS Version=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Skip Pre-Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Get Domain Name
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Machine domain=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Delete Audit Task
      REM Should only be used to remove the pseudo-policy from
      REM client machines (designed for future Vista revisions
      REM where this script will no longer be necessary, and this
      REM script needs to be backed out).
      
      REM to use, simply create a file in NETLOGON with a name
      REM that matches the contents of DeleteAudit variable (above)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Copy Audit Policy to Local Directory
      REM This is tolerant of failures since the copy is just
      REM a "cache refresh".
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Could not read \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Copied \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Apply Policy
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Failed to apply audit settings >> %ApplyAuditPolicyLog%
      ) else (
          echo Successfully applied audit settings >> %ApplyAuditPolicyLog%
      )
    3. Scegliere Salva dal menu File.
    4. Nella casella Salva come fare clic su Tutti i file, digitare ApplyAuditPolicy.cmd nella casella Nome file, quindi scegliere Salva.
  3. Copiare lo script AuditPolicy.cmd e lo script ApplyAuditPolicy.cmd nella condivisione Netlogon del controller di dominio che contiene il ruolo Emulatore del controller del dominio.
  4. Attendere il completamento della replica di Active Directory. Attendere inoltre che i file e le cartelle della cartella condivisa del volume di sistema (SYSVOL) vengano replicati nei controller di dominio del dominio.
  5. Aggiungere lo script di avvio al criterio dominio predefinito. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Avviare lo strumento Utenti e computer di Active Directory.
    2. Fare clic con il pulsante destro del mouse su NomeDominio, quindi scegliere Proprietà.
    3. Fare clic sulla scheda Criteri di gruppo, scegliere Criterio dominio predefinito, quindi Modifica. Verrà aperto l'Editor oggetti Criteri di gruppo.
    4. Espandere Configurazione computer e Impostazioni di Windows, quindi scegliere Script (Avvio/Arresto).
    5. Fare doppio clic su Avvio, quindi scegliere Aggiungi.
    6. Nella casella Nome script digitare il percorso UNC (Universal Naming Convention) del file AuditPolicy.cmd che si trova nella condivisione Netlogon. Utilizzare i formati riportati di seguito:
      \\FullyQualifiedDomainName\Netlogon\AuditPolicy.cmd
      Digitare ad esempio \\contoso.com\netlogon\auditpolicy.cmd.
    7. Scegliere OK due volte.

Passaggio 4: Verificare che le impostazioni del criterio di controllo della protezione vengano applicate correttamente

  1. Attendere il completamento della replica di Active Directory. Attendere inoltre fin quando i file e le cartelle della cartella condivisa del volume di sistema (SYSVOL) non vengano replicati nei controller di dominio del dominio.
  2. Riavviare il computer client Windows Vista aggiunto al dominio. Accedere al computer come un utente che dispone di credenziali di amministratore.
  3. Fare clic sul pulsante Start, scegliere Tutti i programmi, quindi Accessori.
  4. Fare clic con il pulsante destro del mouse su Prompt dei comandi, quindi scegliere Esegui come amministratore.
  5. Nella finestra di dialogo Controllo dell'account utente fare clic su Continua.
  6. Digitare la riga seguente al prompt dei comandi e premere INVIO:
    auditpol /get /category:*
  7. Verificare che le impostazioni del controllo della protezione visualizzate al prompt dei comandi corrispondano alle impostazioni configurate nel file AuditPolicy.txt creato al "Passaggio 1: Determinare le impostazioni di controllo della protezione che si desidera distribuire nei computer client di Windows Vista".

    Se le impostazioni di controllo della protezione non corrispondono, esaminare i file di registro generati dallo script di avvio nella cartella %SystemRoot%\Temp. Se non esiste alcun file di registro nella cartella %SystemRoot%\Temp, esaminare il computer client Windows Vista per stabilire i motivi per cui non sono stati applicati i Criteri di gruppo.

Riferimenti

Per ulteriori informazioni sulla configurazione di script di avvio in Active Directory, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true)
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true)
Per ulteriori informazioni sulla Console Gestione Criteri di gruppo, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true)
Per ulteriori informazioni sull'utilità da riga di comando Auditpol.exe e l'utilità da riga di comando Schtasks.exe, vedere Guida in linea e supporto tecnico di Windows Vista.

Le informazioni in questo articolo si applicano a
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Chiavi: 
kbhowto kbinfo kbexpertiseinter KB921469
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store