Esporta (0) Stampa
Espandi tutto

Guida dettagliata su Controllo account utente in Windows

Aggiornamento: aprile 2011

Si applica a: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Storage Server 2008 R2, Windows Vista

In questa guida dettagliata sono fornite le istruzioni necessarie per l'utilizzo del controllo dell'account utente in un ambiente di prova.

Nel documento non viene fornita una descrizione dettagliata e completa del controllo dell'account utente. Ulteriori risorse includono i componenti seguenti:

  • Tutti gli utenti di questa guida dettagliata troveranno informazioni utili nella pagina relativa alla guida introduttiva al controllo dell'account utente in Windows Vista all'indirizzo http://go.microsoft.com/fwlink/?LinkID=102562 (informazioni in lingua inglese).

  • Per ulteriori informazioni utili ai professionisti IT, vedere la pagina relativa alle informazioni e alla configurazione del controllo dell'account utente in Windows Vista all'indirizzo http://go.microsoft.com/fwlink/?LinkId=56402 (informazioni in lingua inglese).

  • Per informazioni utili agli sviluppatori e ai fornitori di software indipendenti su come sviluppare le applicazioni per Windows Vista® o Windows Server® 2008, vedere la pagina relativa alla storia dello sviluppatore di Windows Vista e Windows Server 2008: requisiti di sviluppo per l'applicazione Windows Vista per il controllo dell'account utente all'indirizzo http://go.microsoft.com/fwlink/?LinkId=89654 (informazioni in lingua inglese).

Cos'è il controllo dell'account utente?

Il controllo dell'account utente è un nuovo componente di protezione in Microsoft Windows Vista che consente agli utenti non amministratori, definiti "utenti standard" in Microsoft Windows Vista, e agli amministratori di eseguire attività comuni senza che sia necessario cambiare utente, disconnettersi o utilizzare il comando Esegui come. Un account utente standard corrisponde a un account utente di Windows XP. Gli account utente che sono membri del gruppo Administrators locale eseguono la maggior parte delle applicazioni come utenti standard. Poiché separa le funzioni degli utenti da quelle degli amministratori senza compromettere la produttività, il controllo dell'account utente rappresenta un miglioramento importante per Microsoft Windows Vista.

noteNota
Il controllo dell'account utente è inoltre un componente di Windows Server 2008.

Quando un amministratore accede a un computer che esegue Microsoft Windows Vista, all'utente vengono assegnati due token di accesso distinti. In Windows® i token di accesso, che contengono l'appartenenza al gruppo, i dati di autorizzazione e i dati di controllo di accesso relativi a un utente, vengono utilizzati per controllare le risorse e le attività alle quali tale utente può accedere. Nelle versioni antecedenti a Microsoft Windows Vista, un account amministratore riceve un solo token di accesso che include i dati necessari per concedere l'accesso utente a tutte le risorse di Windows. Questo modello di controllo dell'accesso non prevede alcun controllo in modalità provvisoria per verificare che l'utente desideri effettivamente eseguire un'attività per la quale è richiesto il token di accesso amministrativo. Un computer potrebbe pertanto essere esposto all'installazione di malware, senza che l'utente ne riceva notifica. Questo processo viene a volte definito come installazione invisibile all'utente.

Poiché l'utente è un amministratore, è possibile che un malware utilizzi i dati di controllo di accesso dell'amministratore per infettare uno o più file principali del sistema operativo e, a volte, potrebbe risultare quasi impossibile da rimuovere.

In Microsoft Windows Vista, la differenza principale tra un utente standard e un amministratore consiste nel livello di accesso dell'utente ad aree protette e principali del computer. Gli amministratori possono modificare lo stato del sistema, disattivare il firewall, configurare i criteri di protezione, installare un servizio o un driver per tutti gli utenti del computer e installare software per tutto il computer. Agli utenti standard non è consentito eseguire tali attività e possono installare software solo per singolo utente.

Per impedire l'installazione invisibile di software dannoso ed evitare così l'infezione a livello del computer, Microsoft ha sviluppato la funzionalità di controllo dell'account utente. Diversamente dalla precedenti versioni di Windows, quando un amministratore accede a un computer che esegue Microsoft Windows Vista, il token di accesso dell'amministratore completo dell'utente viene suddiviso in due token di accesso: un token di accesso di amministratore completo e uno di utente standard. Durante la procedura di accesso, i componenti responsabili del controllo dell'autorizzazione e dell'accesso che identificano un amministratore vengono rimossi, creando un token di accesso per utente standard. Tale token viene quindi utilizzato per avviare il desktop, ovvero la procedura Explorer.exe. Poiché tutte le applicazioni ereditano i rispettivi dati di controllo dell'accesso dall'avvio iniziale del desktop, sono eseguite tutte come utente standard.

Dopo che l'amministratore ha eseguito l'accesso, il token di accesso dell'amministratore completo non viene invocato fino a quando l'utente cerca di eseguire un'attività amministrativa.

Al contrario, quando un utente standard esegue l'accesso, viene creato solo un token di accesso per l'utente standard, che viene quindi utilizzato per avviare il desktop.

ImportantImportante
Poiché la configurazione può essere eseguita utilizzando Criteri di gruppo, in base alle impostazioni dei criteri si possono avere diverse configurazioni. Le scelte di configurazione effettuate nell'ambiente si ripercuotono sulle finestre di dialogo visualizzate da utenti standard e amministratori.

Chi sono i destinatari di questa guida?

Questa guida si rivolge ai seguenti utenti:

  • Pianificatori e analisti IT che valutano il prodotto

  • Architetti della protezione responsabili dell'implementazione di elaborazione attendibile

  • Amministratori che necessitano di controllare il comportamento del controllo dell'account utente

Perché utilizzare la guida?

La guida dovrebbe essere utilizzata dai gruppi elencati sopra per verificare in che modo le applicazioni line-of-business vengono eseguite in Microsoft Windows Vista. Poiché il controllo dell'account utente effettua una netta distinzione tra i processi dell'utente standard e quelli dell'amministratore, è possibile che il fornitore di software indipendente (ISV) o il team degli strumenti interni debba riprogettare alcune applicazioni line-of-business esistenti o contrassegnarle affinché siano sempre eseguite con privilegi elevati.

In questa guida

Requisiti per il controllo dell'account utente

Si consiglia di implementare prima i passaggi forniti in questa guida in un ambiente di prova. Le guide dettagliate non devono necessariamente essere utilizzate per la distribuzione delle funzionalità di Microsoft Windows Vista senza la relativa documentazione (come specificato nella sezione Risorse aggiuntive) e dovrebbero essere utilizzate con discrezione come documento autonomo.

Impostazione dell'esercitazione

La configurazione dell'esercitazione necessaria per la verifica del controllo dell'account utente comprende un controller di dominio che esegue Windows Server 2008 o Windows Server® 2003, un membro server che esegue Windows Server 2008 o Windows Server 2003 e un computer client che esegue Microsoft Windows Vista. Il controller di dominio, il membro server e il computer client devono trovarsi su una rete isolata e dovrebbero essere collegati tramite un hub comune o uno switch livello 2. Nel corso della configurazione di prova, utilizzare indirizzi privati.

Scenari chiave per il controllo dell'account utente

Nella guida sono contemplati i seguenti scenari per il controllo dell'account utente:

noteNota
Lo scopo dei tre scenari illustrati nella guida è aiutare gli amministratori ad acquisire familiarità con la funzionalità di controllo dell'account utente di Microsoft Windows Vista. Negli scenari sono incluse infatti informazioni e procedure di base necessarie agli amministratori per iniziare a utilizzare tale controllo. Nella guida non sono incluse informazioni e procedure per le configurazioni avanzate o personalizzate del controllo dell'account utente.

Scenario 1: richiedere l'esecuzione di un'applicazione con privilegi elevati una sola volta

In Microsoft Windows Vista, il controllo dell'account utente e la relativa modalità Approvazione amministratore sono abilitati per impostazione predefinita. Se il controllo dell'account utente è abilitato, gli account dell'amministratore locale sono eseguiti come account utente standard. Ciò significa che quando un membro del gruppo Administrators esegue l'accesso, i privilegi amministrativi sono disabilitati fino a quando si tenta di eseguire un'applicazione o un'attività con un token amministrativo associato. Quando un membro del gruppo Administrators locale tenta di avviare tale applicazione o attività, viene richiesto di consentire l'esecuzione dell'applicazione con privilegi elevati. Nello scenario 1 viene descritta in dettaglio la procedura per eseguire un'applicazione o un'attività con privilegi elevati una sola volta.

noteNota
Per eseguire la procedura seguente è necessario eseguire l'accesso a un computer client come membro del gruppo Administrators locale. Non è possibile eseguire l'accesso con l'account amministratore del computer (o incorporato) poiché la modalità Approvazione amministratore non è applicabile a tale account. L'account amministratore incorporato è disabilitato nelle nuove installazioni di Microsoft Windows Vista.

Per richiedere l'esecuzione di un'applicazione con privilegi elevati una sola volta

  1. Avviare un'applicazione alla quale è probabile che sia stato assegnato un token amministrativo, ad esempio Pulizia disco di Microsoft Windows. Viene visualizzata una finestra di dialogo Controllo account utente.

  2. Verificare che le informazioni visualizzate corrispondano alla richiesta inviata.

  3. Nella finestra di dialogo Controllo account utente fare clic su Continua per avviare l'applicazione.

Scenario 2: configurare un'applicazione per l'esecuzione costante con privilegi elevati

Lo scenario 2 è simile al precedente in quanto viene eseguita un'applicazione o procedura con privilegi elevati con il token di accesso amministratore. In questo scenario viene tuttavia eseguita un'applicazione che non è stata contrassegnata dallo sviluppatore o identificata dal sistema operativo come applicazione amministrativa. È possibile che alcune applicazioni, ad esempio le applicazioni line-of-business interne o i prodotti non Microsoft, richiedano i diritti amministrativi pur non essendo identificate come applicazioni amministrative. In questo scenario un'applicazione viene contrassegnata in modo che all'utente venga richiesto il consenso e, nel caso in cui sia concesso, sia eseguita come applicazione amministrativa. La procedura descritta di seguito guida l'utente attraverso tale processo.

noteNota
Per eseguire la procedura seguente è necessario accedere a un computer client come membro del gruppo Administrators locale. Non è possibile eseguire l'accesso con l'account amministratore del computer (o incorporato) poiché la modalità Approvazione amministratore non è applicabile a tale account.

ImportantImportante
Questa procedura non può essere utilizzata per impedire al controllo dell'account utente di richiedere il consenso all'utente per l'esecuzione come applicazione amministrativa.

Per configurare un'applicazione per l'esecuzione costante con privilegi elevati

  1. Fare clic con il pulsante destro del mouse su un'applicazione alla quale è probabile che non sia stato assegnato un token amministrativo, ad esempio un'applicazione di elaborazione testo.

  2. Scegliere Proprietà e quindi fare clic sulla scheda Compatibilità.

  3. In Livello di privilegio selezionare Esegui questo programma come amministratore e quindi fare clic su OK.

    noteNota
    Se l'opzione Esegui questo programma come amministratore non è disponibile, significa che l'esecuzione continua dell'applicazione con privilegi elevati è bloccata, l'applicazione non richiede credenziali amministrative per l'esecuzione, l'applicazione è parte della versione corrente di Microsoft Windows Vista oppure l'utente non ha eseguito l'accesso al computer come amministratore.

Scenario 3: configurare il controllo dell'account utente

Nello scenario 3 sono illustrate alcune attività comuni eseguite dagli amministratori locali durante la procedura di installazione e configurazione dei computer client che eseguono Microsoft Windows Vista. Nelle procedure seguenti vengono descritte le attività di disattivazione del controllo dell'account utente, disabilitazione della modalità Approvazione amministratore per la richiesta di credenziali per l'installazione delle applicazioni e modifica del comportamento di richiesta di elevazione dei privilegi.

ImportantImportante
Le opzioni di configurazione avanzate per il controllo dell'account utente non sono disponibili in Windows Vista Starter, Windows Vista Home Basic o Windows Vista Home Premium.

Disattivazione del controllo dell'account utente

Attenersi alla procedura seguente per disabilitare il controllo dell'account utente.

Per eseguire la procedura descritta di seguito è necessario eseguire l'accesso o fornire le credenziali di membro del gruppo Administrators locale.

ImportantImportante
Se si disattiva il controllo dell'account utente si riduce la protezione del computer, rendendolo più vulnerabile all'attacco di software dannoso. Si consiglia di non lasciare disattivato il controllo dell'account utente.

Per disattivare il controllo dell'account utente

  1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.

  2. Nel Pannello di controllo fare clic su Account utente.

  3. Nella finestra Account utente fare clic su Account utente.

  4. Nella finestra delle attività Account utente fare clic su Attiva o disattiva Controllo account utente.

  5. Se il controllo dell'account utente è attualmente configurato nella modalità Approvazione amministratore, viene visualizzato il messaggio Controllo account utente. Fare clic su Continua.

  6. Deselezionare la casella di controllo Per proteggere il computer, utilizzare il controllo dell'account utente e quindi fare clic su OK.

  7. Fare clic su Riavvia per applicare immediatamente le modifiche oppure su Riavvia in seguito e chiudere la finestra delle attività Account utente.

Disabilitare la modalità Approvazione amministratore

Attenersi alla procedura seguente per disabilitare la modalità Approvazione amministratore.

noteNota
Per eseguire la procedura seguente è necessario eseguire l'accesso a un computer client come amministratore locale.

ImportantImportante
Questa procedura non è supportata in Windows Vista Starter, Windows Vista Home Basic o Windows Vista Home Premium.

Per disabilitare la modalità Approvazione amministratore

  1. Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori, Esegui, digitare secpol.msc nella casella Apri e quindi fare clic su OK.

  2. Se viene visualizzata la finestra di dialogo Controllo account utente, confermare che l'azione visualizzata è quella desiderata a scegliere Continua..

  3. Nell'albero della console Impostazioni protezione locale fare doppio clic su Criteri locali e quindi fare doppio clic su Opzioni di protezione.

  4. Scorrere verso il basso e fare doppio clic su Controllo account utente: esegui tutti gli amministratori in modalità Approvazione amministratore.

  5. Selezionare l'opzione Disattivato e quindi fare clic su OK.

  6. Chiudere la finestra Impostazioni protezione locale.

Disabilitare la richiesta da parte del controllo dell'account utente di credenziali per l'installazione di applicazioni

Attenersi alla procedura seguente per disabilitare la richiesta da parte del controllo dell'account utente di credenziali per l'installazione di applicazioni.

noteNota
Per eseguire la procedura seguente è necessario eseguire l'accesso a un computer client come amministratore locale.

ImportantImportante
Questa procedura non è supportata in Windows Vista Starter, Windows Vista Home Basic o Windows Vista Home Premium.

Per disabilitare la richiesta da parte del controllo dell'account utente di credenziali per l'installazione di applicazioni

  1. Fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori, Esegui, digitare secpol.msc nella casella di testo Apri e quindi fare clic su OK.

  2. Nell'albero della console Impostazioni protezione locale fare clic su Criteri locali e quindi su Opzioni di protezione.

  3. Scorrere verso il basso e fare doppio clic su Controllo account utente: rileva installazione applicazioni e richiedi elevazione.

  4. Selezionare l'opzione Disattivato e quindi fare clic su OK.

  5. Chiudere la finestra Impostazioni protezione locale.

Modificare il comportamento della richiesta di elevazione

Attenersi alle procedure seguenti per modificare il comportamento della richiesta di elevazione per il controllo dell'account utente. È possibile configurare separatamente il comportamento della richiesta di elevazione per gli amministratori e gli utenti standard.

noteNota
Per eseguire le procedure seguenti è necessario eseguire l'accesso a un computer client come amministratore locale.

ImportantImportante
Queste procedure non sono supportate in Windows Vista Starter, Windows Vista Home Basic o Windows Vista Home Premium.

Per modificare il comportamento della richiesta di elevazione per gli amministratori

  1. Fare clic sul pulsante Start, scegliere Accessori, Esegui, digitare secpol.msc nella casella Apri e quindi fare clic su OK.

  2. Nell'albero della console Impostazioni protezione locale fare clic su Criteri locali e quindi su Opzioni di protezione.

  3. Scorrere verso il basso e fare doppio clic su Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori.

  4. Dal menu a discesa selezionare una delle impostazioni seguenti:

    • Esegui con privilegi elevati senza chiedere conferma: le attività che richiedono l'elevazione dei privilegi sono eseguite automaticamente con privilegi elevati senza chiedere conferma all'amministratore

    • Richiedi credenziali: questa impostazione richiede l'inserimento di un nome utente e di una password prima di poter eseguire un'applicazione o attività con privilegi elevati

    • Richiedi consenso: impostazione predefinita per gli amministratori

  5. Fare clic su OK.

  6. Chiudere la finestra Impostazioni protezione locale.

Per modificare il comportamento della richiesta di elevazione per gli utenti standard

  1. Fare clic sul pulsante Start, scegliere Accessori, Esegui, digitare secpol.msc nella casella Apri e quindi fare clic su OK.

  2. Nell'albero della console Impostazioni protezione locale fare clic su Criteri locali e quindi su Opzioni di protezione.

  3. Scorrere verso il basso e fare doppio clic su Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard.

  4. Dal menu a discesa selezionare una delle impostazioni seguenti:

    • Nega automaticamente richieste di esecuzione con privilegi elevati: gli utenti standard non potranno eseguire programmi che richiedono elevazione e non verrà loro richiesto alcun consenso

    • Richiedi credenziali: questa impostazione richiede l'inserimento di un nome utente e di una password prima di poter eseguire un'applicazione o attività con privilegi elevati ed è l'impostazione predefinita per gli utenti standard

  5. Fare clic su OK.

  6. Chiudere la finestra Impostazioni protezione locale.

Risoluzione dei problemi e supporto tecnico

Poiché il controllo dell'account utente è una funzionalità di Microsoft Windows Vista, il supporto tecnico è disponibile direttamente tramite Microsoft e le comunità di utenti. Per informazioni sul supporto tecnico, visitare la pagina all'indirizzo http://go.microsoft.com/fwlink/?LinkID=76619

Risorse aggiuntive

  • Per informazioni sulla gestione della protezione e del controllo dell'account utente in un ambiente aziendale o di business, vedere la Guida alla protezione di Windows Vista all'indirizzo http://go.microsoft.com/fwlink/?LinkID=85735 (informazioni in lingua inglese).

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft