Esporta (0) Stampa
Espandi tutto

Autorizzazioni necessarie

Aggiornamento: maggio 2008

Si applica a: Windows Server 2008, Windows Server 2008 R2

In questo capitolo vengono illustrate le autorizzazioni seguenti spiegando, dove appropriato, come concederle.

Per amministrare tutte le funzionalità di un server di Servizi di distribuzione Windows, sono necessarie le autorizzazioni seguenti:

  • Amministratore locale del server di Servizi di distribuzione Windows. Attribuisce i diritti seguenti:

    • Autorizzazioni per i file e autorizzazioni per la cartella RemoteInstall. Gli strumenti di gestione interagiscono con l'archivio immagini tramite percorsi UNC.

    • Autorizzazioni per gli hive del Registro di sistema. Molte impostazioni del server di Servizi di distribuzione Windows sono archiviate in HKEY_LOCAL_MACHINE\System e per modificarle sono necessarie autorizzazioni appropriate per le chiavi corrispondenti.

  • Amministratore del dominio che contiene il server di Servizi di distribuzione Windows. Attribuisce autorizzazioni relative al punto di connessione del servizio (SCP) in Servizi di dominio Active Directory per il server di Servizi di distribuzione Windows, dove sono archiviate alcune impostazioni di configurazione del server.

  • Amministratore dell'organizzazione (facoltativo). Attribuisce privilegi per l'autorizzazione DHCP (Dynamic Host Configuration Protocol). Se l'autorizzazione DHCP è abilitata, per rispondere alle richieste PXE dei client in ingresso il server di Servizi di distribuzione Windows deve essere autorizzato in Servizi di dominio Active Directory. L'autorizzazione DHCP è archiviata nel contenitore della configurazione in Servizi di dominio Active Directory.

In molte situazioni è consigliabile delegare la gestione di un server di Servizi di distribuzione Windows a un account diverso da quello dell'amministratore del dominio o dell'organizzazione e concedere le autorizzazioni generali necessarie all'account delegato. L'account di amministratore delegato deve essere un amministratore di dominio locale, come specificato in precedenza.

Nella tabella seguente sono riportate le attività più comuni, specificando le autorizzazioni necessarie per ognuna di esse.

 

Attività Autorizzazioni necessarie

Aggiungere o rimuovere un gruppo di immagini

Controllo completo su C:\RemoteInstall\Images\GruppoImmagini.

Aggiungere o rimuovere un'immagine

Controllo completo su C:\RemoteInstall\Images\GruppoImmagini.

Disabilitare un'immagine

Autorizzazione di lettura e scrittura degli attributi per il file di immagine associato. Se si disabilita un'immagine, il file dell'immagine Windows (con estensione wim) associato all'immagine verrà nascosto.

Aggiungere un'immagine di avvio

Accesso in lettura e scrittura ai percorsi seguenti:

  • C:\RemoteInstall\Boot

  • C:\RemoteInstall\Admin (questa cartella è presente solo se si effettua l'aggiornamento da Windows Server 2003)

  • %TEMP%

Rimuovere un'immagine di avvio

Accesso in lettura e scrittura a C:\RemoteInstall\Boot.

Impostare proprietà per un'immagine

Autorizzazioni di lettura e scrittura per il file di metadati con estensione wim che rappresenta l'immagine. Tale file si trova nel gruppo di immagini, in C:\RemoteInstall\BootGruppoImmagini.

Configurare un computer pre-installazione

Autorizzazioni necessarie per creare account nel dominio, oltre che per scrivere nelle proprietà di un oggetto computer.

  1. Aprire Utenti e computer di Active Directory.

  2. Fare clic con il pulsante destro del mouse sull'unità organizzativa in cui si desidera creare gli account dei computer pre-installazione e quindi scegliere Delega controllo.

  3. Nella prima schermata della procedura guidata fare clic su Avanti.

  4. Aggiungere l'utente o il gruppo a cui si desidera delegare il controllo e quindi fare clic su Avanti.

  5. Selezionare Crea un'attività personalizzata per eseguire la delega.

  6. Selezionare Solo i seguenti oggetti contenuti nella cartella.

    1. Selezionare la casella di controllo Computer oggetti.

    2. Selezionare Crea gli oggetti selezionati in questa cartella.

    3. Fare clic su Avanti.

  7. Nella casella Autorizzazioni selezionare la casella di controllo Scrivi tutte le proprietà.

  8. Fare clic su Fine.

Approvare un computer in sospeso

Autorizzazioni di lettura e scrittura per la cartella che contiene il file di database Binlsvcdb.mdb nella condivisione RemoteInstall, ad esempio C:\RemoteInstall\MGMT. L'account effettivo di un computer in sospeso approvato viene creato utilizzando un token di autenticazione del server, non il token dell'amministratore che esegue l'approvazione. Di conseguenza, in Servizi di dominio Active Directory è necessario concedere all'account del server di Servizi di distribuzione Windows (WDSSERVER$) i diritti necessari per la creazione di oggetti account computer nei contenitori e nelle unità organizzative in cui verranno creati i computer in sospeso approvati.

  1. Aprire Utenti e computer di Active Directory.

  2. Fare clic con il pulsante destro del mouse sull'unità organizzativa in cui si desidera creare gli account dei computer pre-installazione, quindi scegliere Delega controllo.

  3. Nella prima schermata della procedura guidata fare clic su Avanti.

  4. Modificare il tipo di oggetto in modo da includere Computer.

  5. Aggiungere l'oggetto computer corrispondente al server di Servizi di distribuzione Windows e quindi fare clic su Avanti.

  6. Selezionare Crea un'attività personalizzata per eseguire la delega.

  7. Selezionare Solo i seguenti oggetti contenuti nella cartella.

    1. Selezionare la casella di controllo Computer oggetti.

    2. Selezionare Crea gli oggetti selezionati in questa cartella.

    3. Fare clic su Avanti.

  8. Nella casella Autorizzazioni selezionare la casella di controllo Scrivi tutte le proprietà.

  9. Fare clic su Fine.

Configurare un computer pre-installazione per l'aggiunta a un dominio

L'account utente deve disporre di autorizzazioni di accesso al dominio. L'impostazione JoinRights determina la serie di privilegi di protezione e la proprietà utente determina gli utenti che hanno diritto di accesso al dominio.

Per l'impostazione JoinRights sono consentiti due valori:

  • JoinOnly. Un utente con diritti JoinOnly non può accedere al dominio senza l'assistenza dell'amministratore, ovvero un amministratore con autorizzazioni appropriate sull'oggetto account computer deve reimpostare l'account computer prima dell'installazione del client e dell'accesso al dominio.

  • Full. Un utente con diritti Full può reimpostare l'account e accedere al dominio senza l'assistenza dell'amministratore.

Per la proprietà utente è possibile utilizzare due modelli di amministrazione.

  • (Scelta consigliata) È possibile associare un utente primario all'account nel momento in cui il computer viene approvato. Quando il computer è approvato, l'account computer concederà all'utente primario i diritti seguenti:

    • Lettura e scrittura di tutte le proprietà nell'oggetto computer (JoinRights = JoinOnly o JoinRights = Full)

    • Reimpostazione e modifica dei diritti relativi alla password nell'oggetto computer (JoinRights = Full)

  • È possibile specificare impostazioni predefinite server per l'utente e impostazioni JoinRights applicabili a tutti i client approvati di una determinata architettura. I valori predefiniti consentono di concedere agli amministratori di dominio il diritto di aggiunta Full. Se non si assegna un utente primario all'account computer al momento dell'approvazione, saranno effettivi questi valori predefiniti.

    noteNota
    Se si creano account computer per un controller di dominio che utilizza una lingua diversa dall'inglese e si utilizza la proprietà utente predefinita, sarà necessario configurare le impostazioni di aggiunta automatica in modo da utilizzare un altro account che non contenga caratteri estesi, ad esempio XXXX. Per informazioni sulla modifica di tale valore, visualizzare la Guida per WDSUTIL /set-server /AutoAddSettings dal prompt dei comandi.

L'utente primario e le proprietà JoinRights vengono impostati al momento della creazione dell'account computer. Di conseguenza, per la creazione di oggetti computer sono necessari gli stessi diritti utilizzati per l'approvazione di computer in sospeso. Per modificare le impostazioni predefinite a livello di server (in base all'architettura), sono necessarie autorizzazioni di lettura e scrittura per le chiavi del Registro di sistema seguenti:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<arch>

    Nome: JoinRights

    Tipo: DWORD

    Valore: 0 = JoinOnly; 1 = Full

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<arch>

    Nome: User

    Tipo: REG_SZ

    Valore: nome del gruppo o dell'utente

Convertire un'immagine RIPREP

  • Autorizzazioni di lettura e scrittura per la directory %TEMP% e il percorso di destinazione.

  • Autorizzazioni di lettura per l'immagine RIPREP originale.

Creare un'immagine di individuazione o di acquisizione

  • Autorizzazioni di lettura e scrittura per la directory %TEMP% e il percorso di destinazione.

  • Autorizzazioni di lettura per l'immagine di avvio originale.

Creare una trasmissione multicast

  • Controllo completo sulla chiave seguente del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

  • Autorizzazioni di lettura per RemoteInstall\Images\GruppoImmagini.

Modificare una trasmissione multicast (ad esempio, eliminazione, disattivazione, avvio, interruzione, disconnessione e così via)

Controllo completo sulla chiave seguente del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

In generale, per l'esecuzione di un'installazione client sono necessari diritti utente di dominio. A seconda dello scenario possono essere tuttavia necessarie autorizzazioni aggiuntive. In questa sezione viene descritto l'insieme minimo di autorizzazioni necessario per eseguire le attività di installazione comuni.

 

Attività Autorizzazioni necessarie

Avvio PXE di un computer client

Per l'avvio PXE di un computer client non sono necessarie autorizzazioni e non esiste alcun meccanismo che consenta di proteggere il processo di avvio dalla rete. Se la protezione costituisce un problema critico, per l'avvio dei singoli computer è consigliabile utilizzare un supporto fisico, ad esempio un supporto contenente un'immagine di individuazione.

Selezionare un'immagine di avvio

Per selezionare un'immagine di avvio non sono necessarie autorizzazioni e non esiste alcun meccanismo che consenta di proteggere le voci visualizzate nell'elenco. Il primo meccanismo di autenticazione è disponibile quando si utilizza il client di Servizi di distribuzione Windows all'interno di Windows PE.

Selezionare un'immagine di installazione

Le credenziali specificate nell'interfaccia utente del client di Servizi di distribuzione Windows devono corrispondere a un account di dominio. Dopo l'autenticazione del client nel server di Servizi di distribuzione Windows, l'utente autenticato deve essere in grado di leggere il file WIM di installazione e il file Res.rwm dalla cartella RemoteInstall. Gli utenti autenticati dispongono di tali autorizzazioni per impostazione predefinita.

Aggiungere un computer a un dominio

L'account utente deve disporre di autorizzazioni di accesso al dominio. L'impostazione JoinRights determina la serie di privilegi di protezione e la proprietà utente determina gli utenti che hanno diritto di accesso al dominio.

Per l'impostazione JoinRights sono consentiti due valori:

  • JoinOnly. Un utente con diritti JoinOnly non può accedere al dominio senza l'assistenza dell'amministratore, ovvero un amministratore con autorizzazioni appropriate sull'oggetto account computer deve reimpostare l'account computer prima dell'installazione del client e dell'accesso al dominio.

  • Full. Un utente con diritti Full può reimpostare l'account e accedere al dominio senza l'assistenza dell'amministratore.

Per la proprietà utente è possibile utilizzare due modelli di amministrazione.

  • (Scelta consigliata) È possibile associare un utente primario all'account nel momento in cui il computer viene approvato. Quando il computer è approvato, l'account computer concederà all'utente primario i diritti seguenti:

    • Lettura e scrittura di tutte le proprietà nell'oggetto computer (JoinRights = JoinOnly o JoinRights = Full)

    • Reimpostazione e modifica dei diritti relativi alla password nell'oggetto computer (JoinRights = Full)

  • È possibile specificare impostazioni predefinite server per l'utente e impostazioni JoinRights applicabili a tutti i client approvati di una determinata architettura. I valori predefiniti consentono di concedere agli amministratori di dominio il diritto di aggiunta Full. Se non si assegna un utente primario all'account computer al momento dell'approvazione, saranno effettivi questi valori predefiniti.

Se il computer è un client pre-installazione (ovvero, se in Servizi di dominio Active Directory esiste già un account computer che rappresenta il computer client fisico), l'utente che esegue l'installazione (o le credenziali specificate nel file di installazione automatica per l'aggiunta al dominio) dovrà disporre dei diritti JoinDomain appropriati, come illustrato in precedenza.

Se il computer non è un client pre-installazione, ovvero se Servizi di distribuzione Windows dovrà creare un account computer in Servizi di dominio Active Directory, l'utente che esegue l'installazione (o le credenziali specificate nel file di installazione automatica per l'aggiunta al dominio) dovrà disporre dei diritti necessari per l'aggiunta di un computer pre-installazione e delle impostazioni JoinRights appropriate.

Utilizzare /ResetBootProgram

Se la funzionalità ResetBootProgram è abilitata, l'utente dovrà disporre delle autorizzazioni di lettura e scrittura per la proprietà netbootMachineFilePath dell'oggetto computer pre-installazione. Se tale autorizzazione non è stata concessa e il programma di avvio impostato per l'utente è pxeboot.n12, Servizi di distribuzione Windows non sarà in grado di reimpostare su pxeboot.com il programma di avvio di rete, costringendo il computer a eseguire un ciclo di riavvio infinito. Per ulteriori informazioni, vedere Gestione di programmi di avvio di rete.

Disabilitare l'accesso al prompt dei comandi durante le installazioni

Per impostazione predefinita, durante le installazioni di Servizi di distribuzione Windows gli utenti possono accedere al prompt dei comandi eseguendo una delle operazioni seguenti:

  • Premere MAIUSC+F10 quando il programma di installazione è in esecuzione in Windows PE.

  • Premere MAIUSC+F10 quando l'Acquisizione guidata immagine è in esecuzione in Windows PE.

  • Tenere premuto il tasto CTRL durante l'avvio di Ambiente preinstallazione di Microsoft Windows (Windows PE).

  • Premere MAIUSC+F10 mentre è in esecuzione la Configurazione guidata, ovvero la procedura guidata normalmente eseguita dopo l'installazione.

    ImportantImportante
    Le finestre del prompt dei comandi aperte durante l'esecuzione della Configurazione guidata verranno eseguite nel contesto di sistema. Se la finestra non viene chiusa al termine dell'installazione, l'utente può accedervi e, di conseguenza, disporre di diritti di sistema anche se non è un amministratore locale del computer client.

È possibile disabilitare questa funzionalità aggiungendo un file DisableCmdRequest.tag all'immagine.

  1. Nello snap-in MMC Servizi di distribuzione Windows fare clic con il pulsante destro del mouse sull'immagine di avvio desiderata e quindi scegliere Disabilita.

  2. Montare l'immagine per l'accesso in lettura e scrittura utilizzando gli strumenti disponibili in Windows Automated Installation Kit (AIK).

  3. Creare il file %windir%\Setup\Scripts\DisableCmdRequest.tag nell'immagine montata.

  4. Eseguire il commit delle modifiche e smontare l'immagine.

  5. Nello snap-in MMC Servizi di distribuzione Windows fare clic con il pulsante destro del mouse sull'immagine di avvio desiderata e scegliere Abilita.

  1. Nello snap-in MMC Servizi di distribuzione Windows fare clic con il pulsante destro del mouse sull'immagine di avvio desiderata e scegliere Disabilita.

  2. Esportare l'immagine in un file con estensione wim esterno.

  3. Montare l'immagine per l'accesso in lettura e scrittura utilizzando gli strumenti disponibili in Windows AIK.

  4. Creare il file %windir%\Setup\Scripts\DisableCmdRequest.tag nell'immagine montata.

  5. Eseguire il commit delle modifiche e smontare l'immagine.

  6. Nello snap-in di MMC Servizi di distribuzione Windows fare clic con il pulsante destro del mouse sull'immagine di installazione disabilitata e scegliere Sostituisci immagine.

  7. Seguire le istruzioni della procedura guidata per reimportare l'immagine di installazione modificata.

In questa sezione viene descritto l'insieme minimo di autorizzazioni necessario per eseguire le attività di gestione comuni utilizzando le pagine delle proprietà del server. Per accedere a tali impostazioni, aprire lo snap-in MMC Servizi di distribuzione Windows, fare clic con il pulsante destro del mouse sul server e scegliere Proprietà.

 

Scheda Impostazioni per cui sono necessarie autorizzazioni

Impostazioni risposta PXE

  • Criterio di risposta PXE . Il criterio di risposta PXE è archiviato nel punto di connessione del servizio (SCP) del server. Per configurare tali impostazioni sono necessarie autorizzazioni di lettura e scrittura per tale oggetto.

    1. Aprire Utenti e computer di Active Directory.

    2. Scegliere Funzionalità avanzate dal menu Visualizza (se tale opzione non è già abilitata).

    3. Fare clic con il pulsante destro del mouse sull'account computer per il server di Servizi di distribuzione Windows, quindi scegliere Proprietà.

    4. Nella scheda Installazione remota fare clic su Impostazioni avanzate.

    5. Passare alla scheda Protezione e fare clic su Aggiungi.

    6. Selezionare l'utente e quindi fare clic su Controllo completo.

  • Ritardo risposta PXE . Il ritardo di risposta PXE è archiviato nell'oggetto SCP del server. Per configurare il ritardo di risposta PXE per un server, è necessario disporre di autorizzazioni di lettura e scrittura per l'oggetto seguente:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE\Providers\BINLSVC

    • Nome: netbootAnswerRequests

    • Tipo: REG_SZ

    • Valore: False = non risponde alle richieste PXE di alcun client; True = risponde alle richieste dei client

Servizi directory

  • Nuovo criterio di denominazione client . Questa impostazione è archiviata nell'oggetto SCP nel server. La proprietà è denominata netbootNewMachineNamingPolicy

  • Posizione account client . Questa impostazione è archiviata nell'oggetto SCP nel server. La proprietà è denominata netbootNewMachineOU

Avvio

Programma di avvio predefinito

  • A livello di server, questa opzione è controllata dalla chiave seguente del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootPrograms\<arch>

    • Nome: Default

    • Tipo: REG_SZ

    • Valore: percorso del programma predefinito per l'avvio dei client a livello di server per l'architettura selezionata. Ad esempio: boot\x86\pxeboot.com

  • A livello di computer, l'attributo dell'account computer è: netbootMachineFilePath

Immagine di avvio predefinita

  • A livello di server, questa opzione è controllata dalla chiave seguente del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootImages\<arch>

    • Nome: BootImagePath

    • Tipo: REG_SZ

    • Valore: percorso dell'immagine predefinita per l'avvio dei client a livello di server per l'architettura selezionata. Ad esempio: boot\x86\images\boot.wim

  • A livello di computer, l'attributo dell'account computer è: netbootMirrorDataFile

Client

File di installazione automatica

  • A livello di server, questa opzione è controllata dalla chiave seguente del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend\x86

    • Nome: FilePath

    • Tipo: REG_SZ

    • Valore: percorso del file di installazione automatica dei client a livello di server, relativo alla cartella RemoteInstall. Ad esempio: WdsClientUnattend\WdsUnattend.xml

  • A livello di computer, l'attributo dell'account computer è: netbootMirrorDataFile

Creazione account client

  • Questa opzione è controllata dalla chiave seguente del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    • Nome: NewMachineDomainJoin

    • Tipo: DWORD

    • Valore: 0 per impedire l'aggiunta di client al dominio, 1 per consentirla.

DHCP

  • Non eseguire l'ascolto sulla porta 67 . Questa opzione è controllata dalla chiave seguente del Registro di sistema:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE

    • Nome: UseDhcpPorts

    • Tipo: DWORD

    • Valore: 0 disabilitata, 1 abilitata

  • Configura opzione DHCP 60 su 'PXEClient'.È necessario che l'utente sia in grado di configurare il server DHCP Microsoft in esecuzione nel computer locale.

Avanzate

  • Controller di dominio o catalogo globale utilizzato dal server di Servizi di distribuzione Windows (il server in uso). Queste impostazioni sono archiviate nella posizione seguente del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    Le chiavi per tali impostazioni sono le seguenti:

    Controller di dominio predefinito

    • Nome: DefaultServer

    • Tipo: REG_SZ

    • Valore: nome di dominio completo (FQDN) del controller di dominio predefinito

    Server di catalogo globale predefinito

    • Nome: DefaultGCServer

    • Tipo: REG_SZ

    • Valore: nome di dominio completo (FQDN) del server di catalogo globale predefinito

  • Autorizzazione DHCP. Viene eseguita utilizzando le API DHCP. Sono necessari i privilegi per l'autorizzazione del server DHCP Microsoft.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft