Esporta (0) Stampa
Espandi tutto

Procedure ottimali per Active Directory

Aggiornamento: gennaio 2005

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Operazioni consigliate

  • Per una protezione ottimale, si consiglia di non accedere al computer con credenziali amministrative.

    Quando si accede al computer senza credenziali amministrative, è possibile utilizzare il comando Esegui come per eseguire operazioni di amministrazione.

    Per ulteriori informazioni, vedere Motivi per i quali non è consigliabile utilizzare il computer con privilegi di amministratore e Utilizzo di Esegui come.

  • Per un'ulteriore protezione di Active Directory, si consiglia di adottare le misure di protezione riportate di seguito.

    • Rinominare o disabilitare l'account Administrator (e l'account Guest) in ciascun dominio per evitare attacchi ai domini. Per ulteriori informazioni, vedere Account utente e account computer.

    • Proteggere fisicamente tutti i controller di dominio collocandoli in una stanza chiusa a chiave. Per ulteriori informazioni, vedere Controller di dominio e Protezione di Active Directory.

    • Gestire la relazione di protezione tra due insiemi di strutture e semplificare l'amministrazione della protezione e l'autenticazione negli insiemi di strutture. Per ulteriori informazioni, vedere Trust tra insiemi di strutture.

    • Per una maggiore protezione dello schema di Active Directory, rimuovere tutti gli utenti dal gruppo Schema Admins e aggiungere un utente al gruppo solo quando è necessario apportare modifiche allo schema. Al termine delle modifiche, rimuovere l'utente dal gruppo.

    • Limitare l'accesso di utenti, gruppi e computer alle risorse condivise e filtrare le impostazioni di Criteri di gruppo. Per ulteriori informazioni, vedere Tipi di gruppi.

    • Non disabilitare l'utilizzo delle firme o della crittografia per il traffico LDAP per gli strumenti di amministrazione di Active Directory. Per ulteriori informazioni, vedere Connessione ai controller di dominio con sistema operativo Windows 2000.

    • È possibile che alcuni diritti utente predefiniti assegnati a specifici gruppi predefiniti consentano ai membri di tali gruppi di ottenere diritti aggiuntivi nel dominio, inclusi i diritti di amministrazione. È opportuno, quindi, che tutti i membri dei gruppi Enterprise Admins, Domain Admins, Account Operators, Server Operators, Print Operators e Backup Operators godano dello stesso livello di fiducia all'interno dell'organizzazione. Per ulteriori informazioni su questi gruppi, vedere Gruppi predefiniti.

    • Utilizzare i gruppi globali o i gruppi universali anziché i gruppi locali di dominio quando si specificano le autorizzazioni per gli oggetti directory di dominio replicati nel catalogo globale. Per ulteriori informazioni, vedere Replica del catalogo globale.

      Per informazioni di protezione di carattere generale su Active Directory, vedere Informazioni sulla protezione di Active Directory e Protezione di Active Directory.

  • Definire come sito ogni area geografica che richiede un accesso rapido alle informazioni più aggiornate della directory.

    La definizione come siti distinti delle aree che richiedono l'accesso immediato a informazioni aggiornate di Active Directory consentirà di fornire le risorse necessarie per soddisfare le proprie esigenze.

    Per ulteriori informazioni, vedere Creare un sito.

  • Posizionare almeno un controller di dominio in ogni sito e assegnare ad almeno un controller di dominio in ogni sito il ruolo di catalogo globale.

    I siti che non dispongono di propri controller di dominio e almeno di un catalogo globale dipendono da altri siti per le informazioni della directory e risultano meno efficienti.

    Per ulteriori informazioni, vedere Abilitare o disabilitare un catalogo globale.

  • Eseguire regolarmente il backup dei controller di dominio al fine di preservare tutte le relazioni di trust all'interno del dominio.

    Per ulteriori informazioni, vedere Controller di dominio.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft