Amministrare le impostazioni di criteri di sicurezza
Si applica a: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
In questo argomento per i professionisti IT vengono illustrati diversi metodi per l'amministrazione dei criteri di protezione del computer locale o in un'organizzazione IT di piccole o medie dimensioni utilizzandoWindows Server 2012eWindows 8.
Introduzione
Impostazioni dei criteri di sicurezza da utilizzare come parte dell'implementazione di sicurezza complessiva per controller di dominio protetti, server, computer client e altre risorse all'interno dell'organizzazione.
Impostazioni di criteri di protezione sono regole che è possibile configurare in un computer o più computer, allo scopo di proteggere le risorse in un computer o in rete. L'estensione Impostazioni protezione dello snap-in Editor criteri di gruppo (gpedit. msc) consente di definire le configurazioni di sicurezza come parte di un oggetto Criteri di gruppo (GPO). Tali oggetti sono collegati a contenitori Active Directory quali siti, domini e unità organizzative e consentono agli amministratori di gestire le impostazioni di protezione per più computer da qualsiasi computer aggiunto al dominio.
Controllano le impostazioni di sicurezza:
Autenticazione dell'utente a un computer o di rete.
Le risorse che gli utenti sono autorizzati ad accedere.
Se si desidera registrare un utente o gruppo 's azioni nel registro eventi.
Appartenenza a un gruppo.
Per informazioni su ciascuna impostazione, tra cui descrizioni, le impostazioni predefinite, gestione e considerazioni sulla protezione, vedere ilimpostazioni di criteri di sicurezza diin Microsoft Download Center.
Per informazioni sul funzionamento delle impostazioni protezione snap-in, vedere ilPanoramica tecnica delle impostazioni criteri di sicurezza.
Per gestire configurazioni di protezione per più computer, è possibile utilizzare una delle opzioni seguenti:
Modificare le impostazioni di sicurezza specifico in un oggetto Criteri di gruppo.
Utilizzare lo snap-in modelli di protezione per creare un modello di protezione che contiene i criteri di sicurezza da applicare e quindi importare il modello di protezione in un oggetto Criteri di gruppo. Un modello di protezione è un file che rappresenta una configurazione di sicurezza, e può essere importato in un oggetto Criteri di gruppo, o applicato a un computer locale o può essere utilizzato per analizzare la protezione.
Novità nella modalità di amministrazione delle impostazioni
Nel corso del tempo, sono stati introdotti nuovi modi per gestire le impostazioni di criteri di sicurezza, che includono nuove funzionalità del sistema operativo e l'aggiunta di nuove impostazioni. Nella tabella seguente sono elencati i mezzi diversi da protezione che è possibile amministrare le impostazioni dei criteri.
Strumento o funzionalità |
Descrizione e utilizzo |
|---|---|
Utilizzando lo snap-in Criteri di protezione locali |
Secpol. msc Snap-in MMC consente di gestire solo le impostazioni di criteri di sicurezza. |
Tramite lo strumento da riga di comando Secedit |
Secedit.exe Configura e analizza la protezione del sistema confrontando la configurazione corrente ai modelli di sicurezza specificato. |
Utilizzo di Security Compliance Manager |
Download dello strumento Un Solution Accelerator che consente di pianificare, distribuire, operare e gestire le linee di base di sicurezza per client Windows e sistemi operativi server e applicazioni Microsoft. |
Utilizzando la configurazione guidata impostazioni di sicurezza |
SCW.exe Sicurezza è uno strumento basato su ruoli è disponibile solo su server: È possibile utilizzare, per creare un criterio che abilita servizi, le regole del firewall e le impostazioni necessarie per un server selezionato per ruoli specifici. |
Utilizzo di Gestione configurazione di sicurezza |
Questo set di strumenti consente di creare, applicare e modificare la protezione per il computer locale, l'unità organizzativa o dominio. |
Utilizzo degli strumenti di criteri di gruppo |
GPMC. msc e gpedit. msc La Console Gestione criteri di gruppo utilizza l'editor oggetto Criteri di gruppo per esporre le opzioni di protezione locale, quindi possono essere incorporate in oggetti Criteri di gruppo per la distribuzione in tutto il dominio. Editor criteri di gruppo locali consente di eseguire funzioni simili nel computer locale. |
Criteri di restrizione software VedereAmministrare i criteri di restrizione Softwarenella libreria TechNet. |
Gpedit. msc Criteri di restrizione software (SRP) è una funzionalità basata su criteri di gruppo che identifica i programmi software in esecuzione sul computer in un dominio e controlla la possibilità di eseguire tali programmi. |
AppLocker VedereAmministrare AppLockernella libreria TechNet. |
Gpedit. msc Impedisce a software dannoso (malware) e applicazioni non supportate da influire sul computer nel proprio ambiente e impedisce agli utenti dell'organizzazione di installare e utilizzare applicazioni non autorizzate. |
Utilizzando lo snap-in Criteri di protezione locali
Lo snap-in Criteri di protezione locali (secpol. msc) consente di limitare la visualizzazione degli oggetti Criteri locali per i seguenti criteri e le funzionalità:
Criteri account
Criteri locali
Windows Firewall con sicurezza avanzata
Criteri Gestione elenco reti
Criteri di chiave pubblica
Criteri di restrizione software
Criteri di controllo delle applicazioni
Criteri di sicurezza IP nel Computer locale
Configurazione avanzata dei criteri di controllo
Se il computer è unito al dominio, potrebbero essere sovrascritto criteri impostati in locale.
Lo snap-in Criteri di protezione locali è parte del set di strumenti di Gestione configurazione di sicurezza. Per informazioni su altri strumenti di questo set di strumenti, vedereUtilizzo di Gestione configurazione di sicurezzain questo argomento.
Tramite lo strumento da riga di comando Secedit
Lo strumento da riga di comando Secedit opera con modelli di protezione e fornisce sei funzioni principali:
IlConfigureparametro consente di risolvere i problemi di protezione tra server applicando il modello di sicurezza corrette per il server non corrette.
IlAnalyzeparametro confronta la configurazione di sicurezza del server con il modello selezionato.
IlImportparametro consente di creare un database da un modello esistente. Lo strumento di analisi e configurazione di protezione avviene anche.
IlExportparametro consente di esportare le impostazioni da un database in un modello di impostazioni di sicurezza.
IlValidateparametro consente di convalidare la sintassi di ogni o le righe di testo creati o aggiunti a un modello di sicurezza. Ciò garantisce che se il modello non è possibile applicare la sintassi, il modello non sarà il problema.
IlGenerate Rollbackparametro Salva impostazioni di sicurezza in un modello di protezione correnti del server in modo che può essere utilizzato per ripristinare la maggior parte delle impostazioni di sicurezza del server in uno stato noto. Le eccezioni sono che, quando applicata, modello di ripristino non modificherà voci di elenco di controllo di accesso sui file o voci del Registro di sistema che sono state modificate da più di recente applicato modello.
Per ulteriori informazioni sullo strumento Secedit.exe, vedereSecedit [LH].
Utilizzo di Security Compliance Manager
Security Compliance Manager è uno strumento scaricabile che consente di pianificare, distribuire, operare e gestire le linee di base di sicurezza per sistemi operativi client e server Windows e per le applicazioni Microsoft. Contiene un database completo delle impostazioni di sicurezza consigliata, metodi per personalizzare le linee di base e la possibilità di implementare tali impostazioni in più formati, tra cui XLS, oggetti Criteri di gruppo, Configuration Management desiderato (DCM) Pack o protocollo di sicurezza automazione contenuto (SCAP). Security Compliance Manager viene utilizzato per esportare le linee di base per l'ambiente per automatizzare il processo di verifica della sicurezza distribuzione e la conformità del linea di base.
Per amministrare i criteri di sicurezza utilizzando Security Compliance Manager
Scaricare la versione più recente delSecurity Compliance Managerin Microsoft Download Center.
Leggere la documentazione di base di sicurezza pertinenti inclusa in questo strumento.
Scaricare e importare le linee di base di sicurezza pertinenti. Il processo di installazione viene descritta la selezione dati di riferimento.
Aprire la Guida in linea e seguire le istruzioni come personalizzare, confrontare o unire le linee di base di sicurezza prima di distribuire le linee di base.
Utilizzando la configurazione guidata impostazioni di sicurezza
Configurazione guidata impostazioni di sicurezza consente di creare, modificare, applicare o ripristinare un criterio di sicurezza. Criteri di sicurezza creati con SCW sono file con estensione XML che, quando applicata, configurare i servizi, la protezione della rete, i valori del Registro di sistema e controllo dei criteri. Procedura guidata è uno strumento basato su ruoli: È possibile utilizzare, per creare un criterio che abilita servizi, le regole del firewall e le impostazioni necessarie per un server selezionato per ruoli specifici. Un server, ad esempio, potrebbe essere un file server, un server di stampa o un controller di dominio.
Di seguito vengono riportate alcune considerazioni sull'utilizzo di Configurazione guidata impostazioni di sicurezza:
Sicurezza disattiva i servizi non necessari e fornisce Windows Firewall con sicurezza avanzata supporto.
I criteri di sicurezza creati con Configurazione guidata impostazioni di sicurezza non corrispondono ai modelli di sicurezza, che sono file con estensione inf. I modelli di sicurezza contengono più impostazioni di sicurezza rispetto a quelle che è possibile impostare tramite Configurazione guidata impostazioni di sicurezza. È tuttavia possibile includere un modello di sicurezza in un file di criteri di sicurezza creato con la procedura guidata.
È possibile distribuire i criteri di sicurezza è creare impostazioni di sicurezza utilizzando criteri di gruppo.
Procedura guidata non installare o disinstallare le funzionalità necessarie per il server di un ruolo. È possibile installare funzionalità specifiche del ruolo tramite Server Manager.
In Configurazione guidata impostazioni di sicurezza vengono individuate le dipendenze dei ruoli. Quando si seleziona un ruolo, vengono automaticamente selezionati i ruoli dipendenti.
La procedura guidata, è necessario eseguire tutte le applicazioni che utilizzano il protocollo IP e porte sul server.
In alcuni casi, è necessario essere connessi a Internet per utilizzare i collegamenti nella Guida di sicurezza.
Nota
La procedura guidata è disponibile solo in Windows Server ed è applicabile solo alle installazioni server.
La configurazione guidata impostazioni di sicurezza sono accessibili tramite Server Manager o eseguendo Scw.exe. La procedura guidata viene descritta la configurazione di sicurezza server da:
Creare un criterio di sicurezza che può essere applicato a qualsiasi server nella rete.
Modificare un criterio di sicurezza esistente.
Applicare un criterio di sicurezza esistente.
Ripristinare l'ultimo criterio di protezione applicato.
La procedura guidata criteri di sicurezza consente di configurare servizi e protezione della rete in base al ruolo del server, nonché Configura le impostazioni di controllo e del Registro di sistema.
Per ulteriori informazioni su questa procedura guidata, comprese le procedure, vedere ilConfigurazione guidata sicurezza.
Utilizzo di Gestione configurazione di sicurezza
Il set di strumenti di Gestione configurazione protezione consente di creare, applicare e modificare la protezione per il computer locale, l'unità organizzativa o dominio.
Per istruzioni su come utilizzare Gestione configurazione di sicurezza, vedereSecurity Configuration Manager.
Nella tabella seguente sono elencate le funzionalità di sicurezza Configuration Manager.
Strumenti di Gestione configurazione protezione |
Descrizione |
|---|---|
Analisi e configurazione della protezione |
Definisce un criterio di protezione in un modello. Questi modelli possono essere applicati a criteri di gruppo o nel computer locale. |
Modelli di protezione |
Definisce un criterio di protezione in un modello. Questi modelli possono essere applicati a criteri di gruppo o nel computer locale. |
Estensione Impostazioni protezione di criteri di gruppo |
Consente di modificare singole impostazioni di protezione in un dominio, sito o unità organizzativa. |
Criteri di protezione locali |
Consente di modificare singole impostazioni di protezione sul computer locale. |
Consente di automatizzare attività di configurazione di sicurezza in un prompt dei comandi. |
Analisi e configurazione della protezione
Analisi e configurazione di sicurezza è uno snap-in MMC per l'analisi e configurazione della protezione sistema locale.
Analisi della protezione
Lo stato del sistema operativo e delle applicazioni in un computer è dinamico. È ad esempio, potrebbe essere necessario modificare temporaneamente i livelli di protezione in modo che è possibile risolvere immediatamente un problema di rete o di amministrazione. Tuttavia, questa modifica può riapplicate. Ciò significa che un computer non soddisfa più i requisiti per la sicurezza aziendale.
Analisi a intervalli regolari consente agli amministratori di controllare e garantire un livello adeguato di protezione dei computer come parte di un programma di gestione dei rischi dell'organizzazione. Un amministratore può ottimizzare i livelli di protezione e, soprattutto, rilevare eventuali problemi di protezione che possono verificarsi nel sistema nel tempo.
Analisi e configurazione della protezione consente di esaminare rapidamente i risultati dell'analisi. Presenta consigliate insieme alle impostazioni di sistema correnti e utilizza indicatori e commenti per evidenziare le aree in cui le impostazioni correnti non corrispondono al livello di protezione proposto. Analisi e configurazione della protezione offre inoltre la possibilità di risolvere eventuali discrepanze rilevate dall'analisi.
Configurazione della protezione
Analisi e configurazione della protezione è consente inoltre di configurare direttamente la protezione del sistema locale. Grazie all'utilizzo di database personali, è possibile importare i modelli di protezione che sono stati creati con modelli di protezione e applicano al computer locale. Questo consente di configurare immediatamente la protezione del sistema con i livelli specificati nel modello.
Modelli di protezione
Con lo snap-in modelli di protezione per Microsoft Management Console, è possibile creare un criterio di protezione per il computer o per la rete. È un singolo punto di ingresso dove la gamma completa di protezione del sistema può essere prese in considerazione. Lo snap-in modelli di protezione non introduce nuovi parametri di protezione, organizza semplicemente tutti gli attributi di protezione esistente in una posizione per semplificare l'amministrazione della protezione.
Importazione di un modello di sicurezza per un oggetto Criteri di gruppo semplifica l'amministrazione del dominio di configurare la protezione per un dominio o unità organizzativa in una sola volta.
Per applicare un modello di protezione nel computer locale, è possibile utilizzare configurazione di sicurezza e l'analisi o lo strumento da riga di comando Secedit.
Modelli di protezione possono essere utilizzati per definire:
Criteri account
Criteri password
Criterio di blocco account
Criterio Kerberos
Criteri locali
Criterio di controllo
Assegnazione diritti utente
Opzioni di protezione
Registro eventi: Impostazioni del registro eventi dell'applicazione, sistema e sicurezza
Gruppi con restrizioni: Appartenenza a gruppi di protezione
Servizi di sistema: Avvio e le autorizzazioni per servizi di sistema
Registro di sistema: Autorizzazioni per chiavi del Registro di sistema
File System: Autorizzazioni per file e cartelle
Ogni modello viene salvato come file con estensione inf basata su testo. In questo modo è possibile copiare, incollare, importare o esportare alcuni o tutti gli attributi del modello. Con le eccezioni di Internet Protocol security e criteri chiave pubblica, tutti gli attributi di protezione possono essere contenuti in un modello di protezione.
Estensione Impostazioni protezione di criteri di gruppo
Siti, domini e unità organizzative sono collegati agli oggetti Criteri di gruppo. Lo strumento di impostazioni di sicurezza consente di modificare la configurazione della sicurezza dell'oggetto Criteri di gruppo, che a sua volta, che interessano più computer. Le impostazioni di sicurezza, è possibile modificare le impostazioni di sicurezza di diversi computer, a seconda dell'oggetto Criteri di gruppo modificate, da un computer che appartiene a un dominio.
Le impostazioni di sicurezza o criteri di protezione sono regole configurate su una o più computer per proteggere le risorse in un computer o in rete. Controllano le impostazioni di sicurezza:
La modalità di autenticazione degli utenti a un computer o di rete.
Quali risorse gli utenti sono autorizzati a utilizzare.
Un utente o del gruppo di azioni o meno vengono registrate nel registro eventi.
Appartenenza al gruppo.
È possibile modificare la configurazione di sicurezza su più computer in due modi:
Creare un criterio di protezione utilizzando un modello di protezione con modelli di protezione e quindi importare il modello tramite le impostazioni di sicurezza per un oggetto Criteri di gruppo.
Modificare alcune impostazioni selezionare le impostazioni di sicurezza.
Criteri di protezione locali
Un criterio di protezione è una combinazione di impostazioni di protezione che influiscono sulla protezione in un computer. È possibile utilizzare i criteri di protezione locali per modificare i criteri di account e criteri locali nel computer locale.
Con criteri di protezione locali, è possibile controllare:
Chi accede al computer.
Quali risorse gli utenti sono autorizzati a utilizzare il computer.
Un utente o del gruppo di azioni o meno vengono registrate nel registro eventi.
Se nel computer locale è stato aggiunto a un dominio, si è soggetto ai criteri di sicurezza da criteri del dominio o ai criteri dell'unità organizzativa che si è un membro di. Se si ricevono un criterio da più origini, i conflitti vengono risolti nel seguente ordine di precedenza.
Criteri dell'unità organizzativa
Criteri di dominio
Criterio del sito
Criteri del computer locale
Se si modificano le impostazioni di sicurezza nel computer locale tramite criteri di protezione locali, si siano modificando direttamente le impostazioni nel computer in uso. Pertanto, le impostazioni vengono applicate immediatamente, ma ciò potrebbe essere temporaneo. Le impostazioni effettivamente rimarrà sul computer locale fino al successivo aggiornamento dei criteri di gruppo di impostazioni di sicurezza, quando le impostazioni di sicurezza che vengono ricevute da criteri di gruppo sostituiranno le impostazioni locali in caso di conflitti.
Tramite Gestione configurazione di sicurezza
Per istruzioni su come utilizzare Gestione configurazione di sicurezza, vedereSecurity Configuration Manager How To. In questa sezione contiene informazioni in questo argomento su:
Applicazione delle impostazioni di sicurezza
Importazione ed esportazione di modelli di protezione
Analisi della protezione e visualizzazione dei risultati
Risoluzione dei problemi di protezione
L'automazione delle attività di configurazione della protezione
Applicazione delle impostazioni di sicurezza
Dopo aver modificato le impostazioni di sicurezza, vengono aggiornate le impostazioni dei computer nell'unità organizzativa collegati all'oggetto Criteri di gruppo:
Quando un computer viene riavviato, verranno aggiornate le impostazioni del computer.
Per imporre l'aggiornamento delle impostazioni di protezione nonché tutte le impostazioni di criteri di gruppo, vedere ilGpupdate [LH]strumento da riga di comando.
Precedenza di un criterio quando più di un criterio viene applicato a un computer
Per le impostazioni di protezione definite da più di un criterio, si osserva l'ordine di precedenza seguente:
Criteri dell'unità organizzativa
Criteri di dominio
Criterio del sito
Criteri del computer locale
Ad esempio, una workstation appartenente a un dominio avrà le impostazioni di sicurezza locale viene sottoposto a override dai criteri di dominio, ogni volta che si verifica un conflitto. Analogamente, se la stessa workstation è membro di un'unità organizzativa, le impostazioni applicate dai criteri dell'unità organizzativa sostituiranno le impostazioni locali sia il dominio. Se la workstation è membro di più di un'unità organizzativa, l'unità organizzativa contenente la workstation è l'ordine di precedenza più alto.
Nota
Utilizzare ilGpresult [LH]strumento da riga di comando per scoprire quali criteri sono applicati a un computer e in quale ordine.
Per gli account di dominio, può esistere soltanto un criterio account che include i criteri password, criteri di blocco account e criteri Kerberos.
Persistenza nelle impostazioni di protezione
Le impostazioni di protezione possono permanere anche se un'impostazione non è definita nel criterio originariamente applicata.
Persistenza nelle impostazioni di protezione si verifica quando:
L'impostazione non è stato definito in precedenza per il computer.
L'impostazione è per un oggetto del Registro di sistema.
L'impostazione è per un oggetto file system.
Tutte le impostazioni applicate tramite criteri locali o di un oggetto Criteri di gruppo vengono archiviate in un database locale nel computer in uso. Ogni volta che viene modificata un'impostazione di protezione, il computer salva il valore dell'impostazione di protezione per il database locale, che mantiene una cronologia di tutte le impostazioni che sono stati applicati al computer. Se un criterio prima definisce un'impostazione di protezione e quindi non definisce più tale impostazione, l'impostazione diventa sul valore precedente del database. Se un valore precedente non esiste nel database, l'impostazione non viene ripristinato per qualsiasi elemento e rimane definite allo stesso. Questo comportamento viene talvolta definito "contrassegno".
Le impostazioni del Registro di sistema e file manterrà i valori applicati tramite criteri finché tale impostazione è impostata su altri valori.
Impostazioni di sicurezza in base all'appartenenza del filtro
È inoltre possibile decidere quali utenti o gruppi non disporrà di un oggetto Criteri di gruppo applicate a tali indipendentemente da quali computer sono connessi negando loro l'autorizzazione Applica criteri di gruppo o di lettura sull'oggetto Criteri di gruppo. Entrambe queste autorizzazioni sono necessarie per applicare criteri di gruppo.
Importazione ed esportazione di modelli di protezione
Analisi e configurazione della protezione consente di importare ed esportare modelli di protezione in o da un database.
Se sono state apportate modifiche al database di analisi, è possibile salvare tali impostazioni esportandole in un modello. La funzionalità di esportazione consente di salvare l'analisi, le impostazioni del database come nuovo file di modello. Questo file di modello può quindi essere utilizzato per analizzare o configurare un sistema o possono essere importato in un oggetto Criteri di gruppo.
Analisi della protezione e visualizzazione dei risultati
Analisi e configurazione della protezione esegue l'analisi della protezione confrontando lo stato corrente della sicurezza del sistema da undatabase di analisi. Durante la creazione, il database di analisi utilizza almeno un modello di sicurezza. Se si sceglie di importare più di un modello di protezione, il database verrà vari modelli di tipo merge e creare un unico modello composito. Risolve i conflitti in ordine di importazione. l'ultimo modello importato ha la precedenza.
Analisi e configurazione della protezione consente di visualizzare i risultati dell'analisi per area di sicurezza, utilizzando i contrassegni per indicare problemi. Visualizza impostazioni di configurazione correnti di sistema e di base per ogni attributo di protezione nelle aree di protezione. Per modificare le impostazioni del database di analisi, destro la voce e quindi scegliereproprietà.
Contrassegno |
Significato |
|---|---|
X rossa |
La voce è definita nel database di analisi e dal sistema, ma i valori di impostazione di sicurezza non corrispondono. |
Segno di spunta verde |
La voce è definita nel database di analisi e dal sistema e i valori delle impostazioni corrispondano. |
Punto interrogativo |
La voce non è definita nel database di analisi e, pertanto, non è stata analizzata. Se non viene analizzata una voce, è possibile che non è stato definito nel database di analisi o che l'utente che esegue l'analisi non disponga di autorizzazioni sufficienti per eseguire analisi su un oggetto specifico o area. |
Punto esclamativo |
Questo elemento è definito nel database di analisi, ma non esiste nel sistema in uso. Ad esempio, potrebbe essere un gruppo con restrizioni che è definito nel database di analisi, ma in realtà non esiste nel sistema analizzato. |
Nessuna evidenziazione |
L'elemento non è definito nel database di analisi o nel sistema. |
Se si sceglie di accettare le impostazioni correnti, il valore corrispondente nella configurazione di base viene modificato per farli corrispondere. Se si modifica il sistema in modo che corrisponda alla configurazione di base, la modifica si rifletterà quando si configura il sistema con analisi e configurazione della protezione.
Per evitare contrassegni continuato delle impostazioni esaminate e ritenute accettabili, è possibile modificare la configurazione di base. Le modifiche vengono apportate a una copia del modello.
Risoluzione dei problemi di protezione
È possibile risolvere eventuali discrepanze tra le impostazioni di sistema e database analisi da:
Accettare o modificare alcuni o tutti i valori che sono contrassegnati o non inclusi nella configurazione, se si determina che i livelli di protezione sistema locale siano validi a causa del contesto (o del ruolo) del computer. I valori degli attributi vengono aggiornati nel database e applicati al sistema quando si fa clic suConfigura Computer ora.
Configurazione del sistema per i valori del database di analisi, se si determina il sistema non è in conformità con i livelli di protezione valido.
Importazione di un modello più appropriato per il ruolo del computer nel database come nuova configurazione di base e la sua applicazione al sistema.
Il modello archiviato nel database, non al file del modello di sicurezza vengono apportate modifiche al database di analisi. File modello di protezione verrà modificato solo se si torna a modelli di protezione e modifica il modello o Esporta la configurazione archiviata nello stesso file di modello.
È consigliabile utilizzareConfigura Computer orasolo per modificare le aree di sicurezzanoninfluenzate dalle impostazioni di criteri di gruppo, ad esempio la sicurezza in file locali e cartelle, chiavi del Registro di sistema e servizi di sistema. In caso contrario, quando vengono applicate le impostazioni di criteri di gruppo, avrà la precedenza sulle impostazioni locali, ad esempio criteri account. In generale, non utilizzareConfigura Computer oradurante l'analisi della protezione per i client basati su dominio, poiché sarà necessario configurare singolarmente ogni client. In questo caso, si deve tornare a modelli di protezione, modificare il modello e riapplicarlo all'oggetto Criteri di gruppo appropriato.
L'automazione delle attività di configurazione della protezione
Lo strumento Secedit.exe un prompt dei comandi da un file batch o l'utilità di pianificazione automatica, è possibile utilizzarlo per creare e applicare modelli automaticamente e analizzare la protezione del sistema. È inoltre possibile eseguirlo in modo dinamico da un prompt dei comandi.
Secedit.exe è utile quando si dispone di più computer in cui è necessario analizzare o configurare sicurezza ed è necessario eseguire queste attività durante l'orario di lavoro.
Utilizzo degli strumenti di criteri di gruppo
Criteri di gruppo è un'infrastruttura che consente di specificare configurazioni gestite per utenti e computer mediante le impostazioni e le preferenze di Criteri di gruppo. Per le impostazioni di Criteri di gruppo che influiscono solo su un computer o un utente locale è possibile utilizzare l'Editor Criteri di gruppo locali. All'interno di un ambiente Servizi di dominio Active Directory è possibile gestire le impostazioni e le preferenze di Criteri di gruppo tramite Console Gestione Criteri di gruppo. Gli strumenti di gestione di Criteri di gruppo sono anche inclusi nel pacchetto Strumenti di amministrazione remota del server, per consentire l'amministrazione delle impostazioni di Criteri di gruppo dal desktop.
Per iniziare a utilizzare la gestione delle impostazioni di sicurezza con criteri di gruppo, vederePanoramica di Criteri di gruppo.
Per iniziare a utilizzare la Console Gestione criteri di gruppo, vedere la Guida per ilConsole Gestione criteri di grupponella libreria TechNet.
Per iniziare a utilizzare l'Editor criteri di gruppo locali, vedere la Guida per ilEditor criteri di gruppo locali.