Esporta (0) Stampa
Espandi tutto

Delega dell'amministrazione

Aggiornamento: gennaio 2005

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Delega dell'amministrazione

Mediante la delega dell'amministrazione, è possibile assegnare una serie di operazioni di amministrazione agli utenti e ai gruppi appropriati. È possibile assegnare le operazioni di amministrazione di base agli utenti o ai gruppi normali e lasciare le funzioni di amministrazione relative al dominio e all'insieme di strutture ai membri dei gruppi Domain Admins ed Enterprise Admins. La delega dell'amministrazione consente di attribuire ai gruppi dell'organizzazione un maggiore controllo delle rispettive risorse locali in rete. Consente inoltre di proteggere la rete da danni accidentali o intenzionali limitando i membri dei gruppi di amministratori.

È possibile delegare il controllo amministrativo a qualsiasi livello di una struttura di dominio creando unità organizzative all'interno del dominio e delegando il controllo per unità organizzative specifiche a utenti o gruppi particolari.

Per decidere quali unità organizzative creare e quali unità dovranno contenere gli account o le risorse condivise, tenere presente la struttura dell'organizzazione.

È possibile creare un'unità organizzativa che consenta di assegnare a un utente il controllo amministrativo di tutti gli account utente e computer presenti in tutte le filiali di un reparto, ad esempio Risorse umane. In alternativa, è possibile assegnare a un utente solamente il controllo di alcune risorse del reparto, ad esempio gli account computer. Un'altra possibilità consiste nel delegare a un utente il controllo amministrativo dell'unità organizzativa Risorse umane, ma non delle unità organizzative in essa contenute.

In Active Directory sono disponibili autorizzazioni e diritti utente specifici che possono essere utilizzati per la delega o la limitazione del controllo amministrativo. Utilizzando una particolare combinazione di unità organizzative, gruppi e autorizzazioni, è possibile definire l'ambito amministrativo più appropriato per un utente, ovvero un intero dominio, tutte le unità organizzative di un dominio o una singola unità organizzativa.

È possibile assegnare il controllo amministrativo a un utente o a un gruppo utilizzando la Delega guidata del controllo o la console Gestione autorizzazioni. Entrambi gli strumenti consentono di assegnare diritti e autorizzazioni a utenti o gruppi particolari.

Ad esempio, è possibile assegnare a un utente l'autorizzazione a modificare la proprietà relativa al titolare degli account, senza assegnargli l'autorizzazione a eliminare gli account in quell'unità organizzativa. La Delega guidata del controllo, come suggerisce il nome stesso, consente di delegare le operazioni di amministrazione mediante una procedura guidata che accompagna l'utente durante tutto il processo. Gestione autorizzazioni, una console di Microsoft Management Console (MMC) che consente inoltre di delegare operazioni di amministrazione, offre una maggiore flessibilità rispetto alla Delega guidata del controllo, ma è caratterizzata da una maggiore complessità di utilizzo.

Per ulteriori informazioni sull'utilizzo della Delega guidata del controllo, vedere To delegate control. Per ulteriori informazioni sull'utilizzo di Gestione autorizzazioni, vedere Gestione autorizzazioni.

Delega sicura dell'amministrazione

Si consiglia di delegare le funzioni di amministrazione con attenzione e di tenere traccia di tutte le deleghe effettuate. Prima di delegare qualsiasi operazione, assicurarsi che gli utenti a cui verrà assegnato il controllo amministrativo dispongano delle conoscenze necessarie. Per esaminare i concetti relativi alla protezione di Active Directory, comprese le autorizzazioni e l'eredità, vedere Controllo dell'accesso in Active Directory.

Per ulteriori informazioni sulla procedura per delegare in modo sicuro l'amministrazione, vedere la pagina relativa alla progettazione della struttura logica di Active Directory.

Personalizzazione delle console MMC per gruppi specifici

È possibile utilizzare le opzioni di Microsoft Management Console (MMC) per creare una versione con funzionalità limitate di uno snap-in quale Utenti e computer di Active Directory. In questo modo, gli amministratori potranno controllare le opzioni disponibili ai gruppi a cui sono state delegate le responsabilità amministrative limitando l'accesso a operazioni e ad aree della console personalizzata.

Si supponga ad esempio di delegare il diritto di gestione delle stampanti al gruppo PrintManagers dell'unità organizzativa Produzione. Per semplificare l'amministrazione, è possibile creare una console personalizzata per i membri del gruppo PrintManagers contenente solo l'unità organizzativa Produzione e limitare l'ambito della console utilizzando le modalità della console.

Per ulteriori informazioni sulla personalizzazione di una console e sull'utilizzo delle modalità della console, vedere Utilizzo di console personalizzate e Opzioni di accesso alla console.

La possibilità di utilizzare questo tipo di delega viene ulteriormente favorita da alcune impostazioni di Criteri di gruppo disponibili per MMC. Queste impostazioni consentono all'amministratore di stabilire quali snap-in di MMC possono essere eseguiti da un determinato utente. Le impostazioni possono essere inclusive, per consentire l'esecuzione di un insieme di snap-in, oppure esclusive, per limitare l'insieme di snap-in che è possibile eseguire.

Per ulteriori informazioni sulle impostazioni di Criteri di gruppo per MMC, vedere Impostazione di Criteri di gruppo in MMC.

Utilizzo di Criteri di gruppo per pubblicare e assegnare console personalizzate

Con Criteri di gruppo è possibile distribuire una console personalizzata a gruppi specifici in due modi: mediante pubblicazione o assegnazione. La pubblicazione di una console personalizzata consente di informare i membri di un gruppo, specificato nelle impostazioni di Criteri di gruppo, della disponibilità di una console aggiungendola all'elenco dei programmi in Installazione applicazioni. Quando i membri del gruppo apriranno nuovamente Installazione applicazioni, avranno la possibilità di installare la nuova console. L'assegnazione di una console, al contrario della pubblicazione, determina l'installazione automatica dello snap-in per tutti gli account specificati.

Per pubblicare o assegnare una console, creare o modificare un oggetto Criteri di gruppo e applicarlo al gruppo di utenti appropriato. Utilizzare quindi l'estensione Installazione software dello snap-in Criteri di gruppo per pubblicare o assegnare la console.

Per ulteriori informazioni su Criteri di gruppo, vedere Criteri di gruppo (prima dell'introduzione della console Gestione Criteri di gruppo).

Importante

  • Prima di utilizzare lo snap-in Installazione software, la console deve essere inserita in un pacchetto. Per inserire in un pacchetto la console personalizzata, è possibile utilizzare uno strumento come Windows Installer. Una volta completata questa operazione, sarà possibile configurare lo snap-in Installazione software per pubblicare o assegnare il pacchetto appena creato. Per ulteriori informazioni sulla creazione del pacchetto di un'applicazione, vedere Utilizzo dei Deployment Kit e dei Resource Kit di Windows.

  • Se la console personalizzata che si desidera inserire nel pacchetto utilizza uno snap-in che non è installato nella workstation o nel server di destinazione dell'utente per il quale viene pubblicata o al quale viene assegnata, è necessario includere nel pacchetto il file dello snap-in e la registrazione del file. È anche possibile creare un pacchetto distinto contenente lo snap-in oppure aggiungere lo snap-in durante la creazione del pacchetto della console personalizzata, in modo che venga installato ogni volta che viene eseguita l'installazione del pacchetto della console.

Nota

  • Se un utente è connesso al computer nel momento in cui un oggetto Criteri di gruppo viene applicato all'account, la console pubblicata o assegnata non verrà visualizzata finché l'utente non termina la sessione e non si riconnette al sistema.

Per ulteriori informazioni su altri problemi di protezione di Active Directory, vedere Cenni preliminari sulla protezione.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft