Condividi tramite

Linee guida per la risoluzione dei problemi di Windows LAPS

  • Articolo

Questa guida fornisce i concetti fondamentali da usare per la risoluzione dei problemi di Windows Local Administrator Password Solution (Windows LAPS).

Windows LAPS è una funzionalità di Windows che gestisce e esegue automaticamente il backup della password di un account amministratore locale nei dispositivi Microsoft Entra aggiunti o aggiunti Windows Server Active Directory. È anche possibile usare Windows LAPS per gestire ed eseguire automaticamente il backup della password dell'account della modalità ripristino servizi directory (DSRM) nei controller di dominio Windows Server Active Directory. Un amministratore autorizzato può recuperare la password DSRM e usarla. Per altre informazioni, vedere Che cos'è Windows LAPS?

Nota

  • Questo articolo è per Windows LAPS (la nuova funzionalità), non per i LAPS legacy o la versione precedente di LAPS.
  • Questo articolo elenca solo alcune delle principali cause radice possibili. Possono esistere anche altre cause, ma non sono ancora scoperte.
  • L'elenco seguente contiene gli ID evento più comuni e potrebbe non includere tutti gli eventi LAPS di Windows.

Risoluzione dei problemi di Windows LAPS tramite eventi di Windows

Per visualizzare gli eventi di Windows LAPS, passare a Registri> applicazioni e serviziMicrosoft> Windows >LAPS>Operational in Visualizzatore eventi.

Nota

  • L'elaborazione di Windows LAPS inizia con l'ID evento 10003 e termina con l'ID evento 10004.
  • Se l'elaborazione del ciclo corrente ha esito negativo per qualsiasi motivo, viene registrato l'ID evento 10005.

Windows LAPS ha due scenari:

  • Windows LAPS Active Directory

    I computer client sono configurati per archiviare la password in Active Directory.

  • Windows LAPS Azure Microsoft Entra ID

    I computer client sono configurati per archiviare la password in Microsoft Entra ID.

Nella tabella seguente sono elencati gli ID evento registrati in scenari diversi:

ID evento Scenario
10006 Windows LAPS Active Directory
10011 Windows LAPS Active Directory
10012 Windows LAPS Active Directory
10013 Windows LAPS Active Directory e Microsoft Entra ID
10017 Windows LAPS Active Directory
10019 Windows LAPS Active Directory e Microsoft Entra ID
10025 Windows LAPS Microsoft Entra ID
10026 Windows LAPS Microsoft Entra ID
10027 Windows LAPS Active Directory e Microsoft Entra ID
10028 Windows LAPS Microsoft Entra ID
10032 Windows LAPS Microsoft Entra ID
10034 Windows LAPS Active Directory
10035 Windows LAPS Active Directory
10048 Windows LAPS Active Directory e Microsoft Entra ID
10049 Windows LAPS Active Directory e Microsoft Entra ID
10056 Windows LAPS Active Directory
10057 Windows LAPS Active Directory
10059 Windows LAPS Microsoft Entra ID
10065 Windows LAPS Active Directory

ID evento 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

Per impostazione predefinita, Windows LAPS crittografa la password dell'account gestito nel computer client. Per supportare la crittografia, il livello di funzionalità del dominio deve essere Windows Server 2016.

Risoluzione

  1. Aumentare il livello di funzionalità del dominio, se necessario.
  2. Disabilitare il Criteri di gruppo Abilita crittografia password per i computer client.

    Nota

    Non è consigliabile disabilitare la crittografia della password archiviata nel controller di dominio.

ID evento 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS periodicamente (ogni ora) esegue query su Active Directory per individuare lo stato del computer e il computer client usa il servizio Netlogon per individuare un controller di dominio.

Risoluzione

Se ci si trovi in un ambiente in cui si ha connettività solo a un controller di dominio scrivibile, aprire le porte di rete tra il computer client e il controller di dominio.

Per altre informazioni, vedere Panoramica del servizio e requisiti delle porte di rete per Windows.

ID evento 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Per introdurre Windows LAPS, è necessario estendere lo schema con gli attributi LAPS di Windows. In alternativa, se si usa Windows LAPS in modalità di emulazione LAPS legacy, è necessario estendere lo schema con gli attributi LAPS legacy. Questo problema si verifica per una delle seguenti ragioni:

  • Causa radice 1

    Lo schema non è stato esteso con i nuovi attributi di Windows LAPS.

  • Causa radice 2

    Esiste una replica temporanea di Active Directory tra il controller di dominio locale (DC) e il controller di dominio primario (PDC).

  • Causa radice 3

    Problema di replica di Active Directory nel controller di dominio locale.

Risoluzione della causa radice 1

Eseguire il Update-LapsADSchema cmdlet di PowerShell per aggiornare lo schema di Active Directory usando i privilegi di Amministrazione dello schema.

Se si usa l'emulazione laps legacy, estendere lo schema con il Update-AdmPwdADSchema cmdlet di PowerShell. Questa azione richiede prima di tutto l'installazione del prodotto LAPS legacy.

Risoluzione alla causa radice 2

A causa della latenza di replica, gli attributi dello schema non sono stati replicati nel controller di dominio locale. È possibile usare lo snap-in LDP o ADSIEDIT per identificare se gli attributi dello schema WINDOWS LAPS sono stati replicati. Forzare la replica di Active Directory della partizione dello schema con il master dello schema usando il comando seguente:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Nota

  • Sostituire DC2.contoso.com con il nome del controller di dominio identificato dall'ID evento 10055 nei log eventi di Windows LAPS.
  • Sostituire PDC.contoso.com con il nome del controller di dominio primario nell'ambiente. È possibile identificare il controller di dominio primario usando il nltest /dsgetdc:contoso.com /pdc /force comando .

Risoluzione alla causa radice 3

Esiste un problema di replica di Active Directory tra il controller di dominio locale e altri controller di dominio nel dominio. È possibile visualizzare l'ID evento 10055 nei log eventi di Windows LAPS per verificare il nome del controller di dominio ed eseguire il repadmin /showreps comando per identificare eventuali errori di replica.

Per altre informazioni, vedere Risoluzione dei problemi di replica di Active Directory.

ID evento 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS legge il nome dell'amministratore locale da Criteri di gruppo o l'impostazione Intune Nome dell'account amministratore da gestire. Se questa impostazione non è configurata, cercherà l'account locale con un identificatore di sicurezza (SID) che termina con 500 (amministratore). Se Windows LAPS non riesce a trovare l'account, viene registrato l'ID evento 10013.

Nella versione corrente di Windows LAPS non è disponibile alcuna funzionalità per creare l'utente gestito.

Risoluzione

Verificare e verificare che l'utente gestito sia presente negli utenti locali usando uno dei metodi seguenti:

  • Usare lusrmgr.msc per aprire Utenti e gruppi locali.
  • Eseguire il comando net user.

    Nota

    Assicurarsi che non siano presenti spazi finali all'inizio e alla fine dell'account.

ID evento 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Si tratta di un evento di stato alla fine di un ciclo di elaborazione windows LAPS. Questo evento non ha alcuna causa radice, quindi è necessario esaminare l'elaborazione precedente degli eventi in cui Windows LAPS ha rilevato un problema.

Risoluzione

  1. Aprire un prompt dei comandi di PowerShell con privilegi elevati ed eseguire il Invoke-lapsPolicyProcessing cmdlet .
  2. Aprire Visualizzatore eventi e passare a Registri> applicazioni e serviziMicrosoft>Windows>LAPS> Operational.
  3. Filtrare l'elaborazione più recente degli eventi a partire dall'ID evento 10003 fino all'ID evento 10005.
  4. Correggere eventuali errori precedenti all'ID evento 10017.

ID evento 10019

LAPS failed to update the local admin account with the new password

Windows LAPS non può aggiornare la password dell'account utente gestito localmente nel computer locale. Windows LAPS ha trovato l'utente gestito, ma ha avuto problemi a modificare la password.

Risoluzione

  • Identificare se si verifica un problema di risorse, ad esempio una perdita di memoria o un problema di memoria insufficiente. Riavviare il computer per verificare se si osserva un errore simile.
  • Un'applicazione di terze parti o un driver di filtro che gestisce lo stesso utente gestito non consente a Windows LAPS di gestire la password.

ID evento 10025

Azure discovery failed

Il dispositivo (Microsoft Entra aggiunto o ibrido) configurato con Windows LAPS per archiviare le password in Microsoft Entra ID deve individuare l'endpoint di registrazione aziendale.

Risoluzione

  1. Verificare che sia possibile connettersi correttamente all'endpoint di registrazione (https://enterpriseregistration.windows.net). Se si apre Microsoft Edge o Google Chrome e ci si connette all'endpoint di registrazione (https://enterpriseregistration.windows.net), viene visualizzato un messaggio "Endpoint non trovato". Questo messaggio significa che è possibile connettersi all'endpoint di registrazione aziendale.
  2. Se si usa un server proxy, verificare che il proxy sia configurato nel contesto di sistema. È possibile aprire un prompt dei comandi con privilegi elevati ed eseguire il netsh winhttp show proxy comando per visualizzare il proxy.

ID evento 10026

LAPS was unable to authenticate to Azure using the device identity

Questo problema si verifica se si verifica un problema con il token di aggiornamento primario (PRT) del dispositivo.

Risoluzione

  1. Verificare di aver abilitato la funzionalità LAPS di Windows nel tenant di Azure.
  2. Verificare che il computer non sia stato eliminato o disabilitato nel tenant di Azure.
  3. Aprire un prompt dei comandi, eseguire il dsregcmd /status comando e verificare la presenza di errori nelle sezioni seguenti:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verificare il messaggio di errore usando il comando dsregcmd e risolvere il problema.
  5. Risolvere Microsoft Entra dispositivi aggiunti ibridi usando Risolvere i problemi Microsoft Entra dispositivi aggiunti ibridi.
  6. Usare lo strumento di risoluzione dei problemi di registrazione del dispositivo per identificare e correggere eventuali problemi di registrazione del dispositivo.
  7. Se viene visualizzato un messaggio di errore, vedere Microsoft Entra codici di errore di autenticazione e autorizzazione per la descrizione dell'errore e per un'ulteriore risoluzione dei problemi.

ID evento 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS non può aggiornare la password dell'account utente gestito localmente nel computer locale. Windows LAPS ha trovato l'utente gestito, ma ha avuto problemi a modificare la password.

Risoluzione

  1. Controllare i criteri password nel computer eseguendo il net accounts comando in un prompt dei comandi. Convalidare uno dei criteri password se non soddisfano i criteri dei criteri password configurati per Windows LAPS, ad esempio la complessità della password, la lunghezza della password o l'età della password.

  2. Identificare se l'impostazione viene applicata tramite un oggetto Criteri di gruppo locale , un oggetto Criteri di gruppo di dominio o impostazioni di sicurezza locali eseguendo il GPRESULT /h comando . Modificare l'oggetto Criteri di gruppo o le impostazioni di sicurezza in modo che corrispondano alle impostazioni della password dell'oggetto Criteri di gruppo di Windows LAPS. Le impostazioni vengono configurate tramite l'impostazione Impostazioni password nell'oggetto Criteri di gruppo o Intune (MDM).

    Nota

    I criteri password configurati in Active Directory, nell'oggetto Criteri di gruppo locale o nelle impostazioni di sicurezza devono corrispondere alle impostazioni della password di Windows LAPS o devono contenere impostazioni inferiori a quelle nella configurazione impostazioni password laps di Windows.

  3. Controllare se sono presenti filtri password di terze parti che potrebbero bloccare l'impostazione della password.

    1. Scaricare Esplora processi.

    2. Estrarre ed eseguire Esplora processi come amministratore.

    3. Selezionare il processoLSASS.exe nel riquadro sinistro.

    4. Selezionare Visualizza>mostra riquadro inferiore.

    5. Selezionare Visualizza>DLLvisualizzazione> riquadro inferiore.

      Screenshot di Esplora processi con DLL o moduli caricati.

  4. Nel riquadro inferiore vengono visualizzate le DLL o i moduli caricati. Identificare se sono presenti moduli di terze parti usando il campo Nome società (qualsiasi modulo diverso da Microsoft).

    Esaminare l'elenco dll per identificare se il nome della DLL di terze parti (modulo) contiene alcune parole chiave come "security", "password" o "policies". Disinstallare o arrestare l'applicazione o il servizio che potrebbe usare questa DLL.

Computer unito a Microsoft Entra ID

Microsoft Entra ID o dispositivi aggiunti ibridi possono essere gestiti usando la gestione dei dispositivi mobili (MDM) (Intune), oggetti Criteri di gruppo locali o qualsiasi software di terze parti simile.

  1. Controllare i criteri password nel computer eseguendo il net accounts comando in un prompt dei comandi. Convalidare uno dei criteri password se non soddisfano i criteri dei criteri password configurati per Windows LAPS, ad esempio la complessità della password, la lunghezza della password o l'età della password.
  2. Identificare se i criteri in conflitto vengono applicati tramite Intune, un oggetto Criteri di gruppo locale o un software di terze parti simile, ad esempio Intune per gestire i criteri password nel computer.

ID evento 10028

LAPS failed to update Azure Active Directory with the new password

Il computer client Windows LAPS aggiorna periodicamente le password. Questo evento viene visualizzato se il computer client configurato con Windows LAPS non può aggiornare la password a Microsoft Entra ID.

Risoluzione

  1. Verificare di aver abilitato la funzionalità LAPS di Windows nel tenant di Azure.
  2. Verificare che il computer non sia stato eliminato o disabilitato nel tenant di Azure.
  3. Aprire un prompt dei comandi ed eseguire il dsregcmd /status comando per verificare la presenza di errori nelle sezioni seguenti:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verificare il messaggio di errore usando il comando dsregcmd e risolvere il problema.
  5. Usare Risolvere i problemi Microsoft Entra dispositivi aggiunti ibridi per risolvere i problemi relativi ai dispositivi aggiunti Microsoft Entra ibridi.
  6. Usare lo strumento di risoluzione dei problemi di registrazione del dispositivo per identificare e correggere eventuali problemi di registrazione del dispositivo.
  7. Se viene visualizzato un messaggio di errore, vedere Microsoft Entra codici di errore di autenticazione e autorizzazione per la descrizione dell'errore e per un'ulteriore risoluzione dei problemi.

ID evento 10032

LAPS was unable to authenticate to Azure using the device identity

Potrebbero verificarsi problemi relativi all'autenticazione Microsoft Entra quando si usa il token di aggiornamento primario del dispositivo.

Risoluzione

  1. Verificare di aver abilitato la funzionalità LAPS di Windows nel tenant di Azure.
  2. Verificare che il computer non sia stato eliminato o disabilitato nel tenant di Azure.
  3. Aprire un prompt dei comandi ed eseguire il dsregcmd /status comando per verificare la presenza di errori nelle sezioni seguenti:
    • Device status
    • SSO data
    • Diagnostic data
  4. Verificare il messaggio di errore usando il comando dsregcmd e risolvere il problema.
  5. Usare Risolvere i problemi Microsoft Entra dispositivi aggiunti ibridi per risolvere i problemi relativi ai dispositivi aggiunti Microsoft Entra ibridi.
  6. Usare lo strumento di risoluzione dei problemi di registrazione del dispositivo per identificare e correggere eventuali problemi di registrazione del dispositivo.
  7. Se viene visualizzato un messaggio di errore, vedere Microsoft Entra codici di errore di autenticazione e autorizzazione per la descrizione dell'errore e per un'ulteriore risoluzione dei problemi.

ID evento 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

L'entità di crittografia viene configurata tramite l'impostazione Configura decrittografatori di password autorizzati usando l'oggetto Criteri di gruppo o MDM (Intune). Sembra che l'impostazione non sia configurata correttamente.

Risoluzione

Correggere la configurazione Intune o dell'oggetto Criteri di gruppo. Questa impostazione accetta due valori:

  • SID di un gruppo di dominio o di un utente
  • Nome gruppo in <Nome> dominio\<Nome> gruppo, <Nome> dominio\<Nome> utente o <Nome> utente@<Nome dominio>

Nota

Verificare che non siano presenti spazi finali all'inizio e alla fine dell'impostazione.

ID evento 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

L'entità di crittografia viene configurata tramite l'impostazione Configura decrittografatori di password autorizzati usando l'oggetto Criteri di gruppo o MDM (Intune). L'impostazione accetta un SID o un nome di gruppo di dominio in <Nome> dominio\<Nome> gruppo, <Nome> dominio\<Nome> utente o <Nome> utente@<Nome> dominio. L'errore si verifica quando il client WINDOWS LAPS non riesce a risolvere un SID in un nome o in un SID.

Risoluzione

  1. Verificare che il gruppo di dominio esista in Active Directory e che non sia stato eliminato.
  2. Se il gruppo è stato appena creato, attendere che la replica di Active Directory converga nel controller di dominio locale del computer client.
  3. Usare lo strumento Sysinternal PsGetSid per risolvere manualmente il SID o il nome.
    1. Scaricare PsGetSid.
    2. Estrarre il file scaricato e aprire un prompt dei comandi con privilegi elevati nel computer client in cui si verifica il problema.
    3. Eseguire il comando psgetsid -accepteula <SID> or <Name>. Usare il SID o il nome indicato nell'ID evento 10035.
  4. Controllare se sono presenti errori di replica di Active Directory nella foresta e risolverli. Per altre informazioni, vedere Risoluzione dei problemi di replica di Active Directory.

ID evento 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

Il nuovo tentativo di post-autenticazione è il numero di operazioni di ripetizione dei tentativi di reimpostazione della password con la directory appropriata (Microsoft Entra ID o Active Directory). Se questo numero supera il massimo di 100 in un avvio, questo evento viene attivato.

Risoluzione

  1. Identità se si verifica un problema di connessione alla directory appropriata, ad esempio Active Directory o Microsoft Entra ID.
  2. Risolvere eventuali altri errori durante l'elaborazione degli eventi laps di Windows.

ID evento 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS può essere configurato per un'azione post-autenticazione usando l'impostazione Azioni post-autenticazione con gpo o MDM (Intune). In questo scenario, l'impostazione è configurata per riavviare il computer se rileva un'azione post-autenticazione. Questo evento indica che il computer non può essere riavviato.

Risoluzione

  1. Identificare se c'è un'applicazione che blocca l'arresto del computer.
  2. Identificare se si dispone dei privilegi necessari per arrestare il computer.

ID evento 10056

LAPS failed to locate a writable domain controller

Il client Windows LAPS usa l'operazione di modifica LDAP (Lightweight Directory Access Protocol) per scrivere password in Active Directory dal client Windows LAPS. Windows LAPS deve individuare un controller di dominio scrivibile nel dominio per scrivere la password dell'account gestito.

Risoluzione

  1. Aprire un prompt dei comandi nel computer client ed eseguire il comando :

    nltest /dsgetdc:<Domain Name> /force /writable

    Se viene visualizzato l'errore 1355 (non è possibile trovare il controller di dominio per il dominio), significa che è necessario risolvere il problema di individuazione del controller di dominio scrivibile.

  2. Se ci si trovi in un ambiente in cui si ha connettività solo a un controller di dominio scrivibile, aprire le porte di rete tra il computer client e il controller di dominio. Per altre informazioni, vedere Panoramica del servizio e requisiti delle porte di rete per Windows.

ID evento 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Durante un'elaborazione in background pianificata, Windows LAPS deve connettersi a un controller di dominio. Questa elaborazione viene eseguita usando il contesto del computer. Questo errore viene visualizzato se si verifica un problema di autenticazione di Active Directory tra il computer client e il controller di dominio.

Risoluzione

  1. Verificare che l'account computer non venga eliminato in Active Directory.

  2. Convalidare eventuali problemi di canale sicuro tra il client e il controller di dominio eseguendo un comando con privilegi elevati:

    nltest /sc_query:<Domain Name>

  3. Ricongiungere il computer al dominio.

    Nota

    Assicurarsi di conoscere la password dell'amministratore locale.

ID evento 10059

Azure returned a failure code

L'evento contiene anche un errore HTTP. L'errore si verifica durante la connessione, l'autenticazione o l'aggiornamento della password a Microsoft Entra ID.

Risoluzione

  1. Verificare che sia possibile connettersi correttamente all'endpoint di registrazione Microsoft Entra (https://enterpriseregistration.windows.net).
  2. Verificare di aver abilitato la funzionalità LAPS di Windows nel tenant di Azure.
  3. Verificare che il computer non sia stato eliminato o disabilitato nel tenant di Azure.
  4. Aprire un prompt dei comandi ed eseguire il dsregcmd /status comando per verificare la presenza di errori nelle sezioni seguenti:
    • Device status
    • SSO data
    • Diagnostic data
  5. Verificare il messaggio di errore usando il comando dsregcmd e risolvere il problema.
  6. Usare Risolvere i problemi Microsoft Entra dispositivi aggiunti ibridi per risolvere i problemi relativi ai dispositivi aggiunti Microsoft Entra ibridi.
  7. Usare lo strumento di risoluzione dei problemi di registrazione del dispositivo per identificare e correggere eventuali problemi di registrazione del dispositivo.
  8. Se viene visualizzato un messaggio di errore, vedere Microsoft Entra codici di errore di autenticazione e autorizzazione per la descrizione dell'errore e per un'ulteriore risoluzione dei problemi.

ID evento 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Questo errore si verifica perché il computer client Windows LAPS deve scrivere le password dell'utente gestito.

Questo problema può verificarsi anche se si sposta il computer in un'unità organizzativa diversa e l'unità organizzativa di destinazione non dispone dell'autorizzazione self-permission per il computer.

Risoluzione

  1. Se non è stato eseguito il cmdlet PowerShell windows LAPS per assegnare l'autorizzazione self-permission all'account computer, eseguire il cmdlet seguente:

    Set-LapsADComputerSelfPermission -identity <OU Name>

    Ad esempio:

    Set-LapsADComputerSelfPermission -Identity LAPSOU
Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com

    Nota

    È possibile usare un nome distinto (DN) se si ha lo stesso nome per l'unità organizzativa ma in gerarchie diverse.

  2. Verificare che l'account computer disponga dell'autorizzazione self-permission per l'unità organizzativa in cui è presente l'account computer.

Accedere a un controller di dominio con privilegi di amministratore di dominio

  1. Aprire LDP.exe.

  2. Selezionare Connessione>e configurare il server e la porta come indicato di seguito:

    Screenshot dello strumento LDP con la finestra Connetti aperta.

  3. Selezionare Associazione connessione>, configurare le impostazioni seguenti e quindi selezionare OK.

    Screenshot dello strumento LDP con la finestra Bind aperta.

  4. Selezionare Visualizza>albero. Nell'elenco a discesa di BaseDN selezionare quindi il dominio in cui si trova il computer client.

    Screenshot dello strumento LDP con la finestra Visualizzazione albero aperta.

  5. Esplorare l'albero di dominio per identificare l'unità organizzativa in cui si trovano i computer client. Fare clic con il pulsante destro del mouse sull'unità organizzativa e scegliere Modifica descrittore> di sicurezza.

    Screenshot dello strumento LDP con l'albero di dominio nel riquadro sinistro.

  6. Ordinare la colonna Trustee e trovare i diritti utente seguenti per NT AUTHORITY\SELF le autorizzazioni per l'attributo msLAPS-Password . Screenshot dello strumento LDP con la finestra Del descrittore di sicurezza aperta e ordinata in base alla colonna Trustee.