Esporta (0) Stampa
Espandi tutto

Tipi di gruppi

Aggiornamento: gennaio 2005

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Tipi di gruppi

I gruppi consentono di raccogliere gli account utente, gli account computer e altri account di gruppo in unità gestibili. L'utilizzo dei gruppi anziché dei singoli utenti semplifica la gestione e l'amministrazione della rete.

Esistono due tipi di gruppi in Active Directory: gruppi di distribuzione e gruppi di protezione. È possibile utilizzare i gruppi di distribuzione per creare liste di distribuzione per la posta elettronica e i gruppi di protezione per assegnare le autorizzazioni per le risorse condivise.

Gruppi di distribuzione

I gruppi di distribuzione possono essere utilizzati solo con le applicazioni di posta elettronica, ad esempio Exchange, per inviare i messaggi a insiemi di utenti. Questi gruppi non sono abilitati per la protezione, ossia non possono essere inclusi negli elenchi di controllo di accesso discrezionali (DACL, Discretionary Access Control Lists). Se è necessario un gruppo per controllare l'accesso alle risorse condivise, creare un gruppo di protezione.

Gruppi di protezione

Se utilizzati con attenzione, i gruppi di protezione forniscono un sistema efficiente per l'assegnazione dei diritti di accesso alle risorse sulla rete. Mediante i gruppi di protezione, è possibile effettuare le seguenti operazioni:

  • Assegnare i diritti utente ai gruppi di protezione in Active Directory

    I diritti utente vengono assegnati ai gruppi di protezione per determinare le operazioni che i membri dei gruppi possono eseguire all'interno dell'ambito di un dominio o di un insieme di strutture. Ad alcuni gruppi di protezione i diritti utente vengono assegnati automaticamente durante l'installazione di Active Directory, per consentire agli amministratori di definire il ruolo amministrativo di un utente nel dominio. Un utente che viene aggiunto al gruppo Backup Operators di Active Directory, ad esempio, può eseguire il backup e il ripristino dei file e delle directory che si trovano in ciascun controller di dominio nel dominio.

    Per impostazione predefinita, al gruppo Backup Operators vengono assegnati automaticamente i diritti utente Backup di file e directory e Ripristino di file e directory. I membri del gruppo ereditano quindi i diritti utente assegnati al gruppo stesso. Per ulteriori informazioni sui diritti utente, vedere Introduzione ai diritti utente. Per ulteriori informazioni sui diritti utente assegnati ai gruppi di protezione, vedere Gruppi predefiniti.

    È possibile assegnare i diritti utente ai gruppi di protezione mediante Criteri di gruppo per delegare operazioni specifiche. Si consiglia di prestare attenzione durante l'assegnazione di operazioni delegate in quanto un utente non esperto a cui sono assegnati troppi diritti in un gruppo di protezione può causare danni significativi alla rete. Per ulteriori informazioni, vedere Delega dell'amministrazione. Per ulteriori informazioni sull'assegnazione dei diritti utente ai gruppi, vedere Assegnare diritti utente a un gruppo in Active Directory.

  • Assegnare le autorizzazioni per le risorse ai gruppi di protezione

    Le autorizzazioni non devono essere confuse con i diritti utente. Le autorizzazioni vengono assegnate al gruppo di protezione per la risorsa condivisa e determinano gli utenti che possono accedere alla risorsa e il livello di accesso, ad esempio Controllo completo. Alcune autorizzazioni impostate sugli oggetti di dominio vengono assegnate automaticamente per consentire diversi livelli di accesso ai gruppi di protezione predefiniti, ad esempio Account Operators e Domain Admins. Per ulteriori informazioni sulle autorizzazioni, vedere Controllo dell'accesso in Active Directory.

    I gruppi di protezione sono riportati nei DACL, che definiscono le autorizzazioni su risorse e oggetti. Durante il processo di assegnazione delle autorizzazioni di accesso per le risorse, ad esempio condivisioni file, stampanti e così via, è opportuno che gli amministratori assegnino le autorizzazioni a un gruppo di protezione anziché a singoli utenti. Questo approccio consente di concedere le autorizzazioni un'unica volta al gruppo, anziché più volte ai singoli utenti. Ogni account aggiunto a un gruppo riceve i diritti assegnati al gruppo in Active Directory e le autorizzazioni sulla risorsa definite per tale gruppo.

Analogamente ai gruppi di distribuzione, i gruppi di protezione possono essere utilizzati anche come entità di posta elettronica. L'invio di un messaggio al gruppo comporta l'invio del messaggio a tutti i membri del gruppo.

Conversione tra i gruppi di protezione e i gruppi di distribuzione

È possibile convertire in qualsiasi momento un gruppo di protezione in un gruppo di distribuzione e viceversa solo se il livello di funzionalità del dominio è impostato su Windows 2000 nativo o superiore. I gruppi non possono essere convertiti quando il livello di funzionalità del dominio è impostato su Windows 2000 misto.

Per informazioni specifiche sulle procedure, vedere Convertire un gruppo in un altro tipo di gruppo. Per ulteriori informazioni sulla funzionalità di dominio, vedere Funzionalità del dominio e dell'insieme di strutture.

Nota

  • Sebbene sia possibile aggiungere un contatto a un gruppo di protezione e a un gruppo di distribuzione, non è possibile assegnargli diritti e autorizzazioni. Ai contatti di un gruppo è possibile inviare messaggi di posta elettronica.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft