Esporta (0) Stampa
Espandi tutto

Proteggere gli account in seguito al furto di un controller di dominio di sola lettura

Aggiornamento: aprile 2009

Si applica a: Windows Server 2008, Windows Server 2008 R2

Se ci si accorge che un controller di dominio di sola lettura è stato rubato o compromesso in altro modo, è opportuno eliminare subito l'account del controller di dominio di sola lettura dal dominio e reimpostare le password degli account le cui password sono archiviate nel controller di dominio di sola lettura.

Per completare queste procedure è necessaria almeno l'appartenenza al gruppo Domain Admins, al gruppo Enterprise Admins oppure a un gruppo equivalente. Per una maggior sicurezza, è consigliabile eseguire questa procedura tramite la funzionalità Esegui come. Per ulteriori informazioni sull'utilizzo degli account e delle appartenenze di gruppo appropriati, vedere Gruppi predefiniti locali e di dominio (http://go.microsoft.com/fwlink/?LinkId=83477).

Eliminare l'account computer del controller di dominio di sola lettura tramite Utenti e computer di Active Directory

Lo snap-in Utenti e computer di Active Directory è uno strumento efficace per rimuovere l'account computer del controller di dominio di sola lettura e reimpostare tutte le password degli account in esso autenticati.

Per eliminare l'account computer del controller di dominio di sola lettura tramite Utenti e computer di Active Directory

  1. Aprire Utenti e computer di Active Directory. Per aprire Utenti e computer di Active Directory, fare clic sul pulsante Start, scegliere Pannello di controllo, fare doppio clic su Strumenti di amministrazione e quindi su Utenti e computer di Active Directory.

    Assicurarsi di essere connessi a un controller di dominio scrivibile che esegue Windows Server 2008 nel dominio corretto. Per collegarsi al dominio o al controller di dominio corretto, nel riquadro dei dettagli fare clic con il pulsante destro del mouse sull'oggetto Utenti e computer di Active Directory, quindi scegliere Cambia dominio oppure Cambia controller di dominio.

  2. Nell'albero della console espandere l'oggetto dominio e quindi selezionare l'unità organizzativa Controller di dominio.

  3. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sull'account computer del controller di dominio di sola lettura e quindi scegliere Elimina.

  4. Quando viene visualizzata la finestra di dialogo Servizi di dominio Active Directory fare clic su per confermare l'eliminazione.

  5. Nella finestra di dialogo Eliminazione controller di dominio, illustrata di seguito, selezionare le opzioni appropriate per indicare se si desidera reimpostare le password di tutti gli account utente o di tutti gli account computer e per specificare il percorso del file system in cui esportare un elenco di account le cui password correnti erano memorizzate nella cache del controller di dominio di sola lettura. A questo punto è possibile selezionare o deselezionare le caselle di controllo desiderate. Per impostazione predefinita, le caselle di controllo Reimposta tutte le password per gli account utente memorizzati nella cache in questo controller di dominio di sola lettura e Esporta l'elenco di account memorizzati nella cache in questo controller di dominio di sola lettura nel file seguente sono selezionate, come indicato nella figura seguente. Se si desidera reimpostare le password anche per gli account computer memorizzati nella cache del controller di dominio di sola lettura, è necessario selezionare la casella di controllo Reimposta tutte le password per gli account computer memorizzati nella cache in questo controller di dominio di sola lettura. Sebbene per impostazione predefinita le password degli account computer vengano reimpostate ogni 30 giorni, è possibile scegliere di reimpostarle immediatamente per ridurre il rischio che gli account computer memorizzati nel controller di dominio di sola lettura possano essere utilizzati dall'autore di un attacco nel tentativo di compromettere il dominio prima della reimpostazione automatica degli account. Quando si è pronti per procedere, fare clic su Elimina.

    noteNota
    Se si reimpostano le password degli account computer, sarà necessario aggiungere nuovamente il computer al dominio. Se invece le password degli account computer vengono reimpostate automaticamente, per accedere al dominio gli utenti dovranno prima concordare con un amministratore degli account la password da utilizzare per la reimpostazione.

    Eliminazione dell'account computer RODC
  6. Nella finestra di eliminazione del controller di dominio viene chiesto di confermare la richiesta di eliminazione. Verificare che la richiesta sia corretta e quindi fare clic su OK per procedere con l'eliminazione, come illustrato nella figura seguente.

    Conferma la rimozione dell'account computer RODC
  7. Se il controller di dominio è anche un server di catalogo globale, verrà visualizzato un messaggio in cui si chiede se si desidera continuare. Per procedere, fare clic su . L'account computer verrà rimosso e i metadati della directory verranno eliminati.

Eliminare l'account computer del controller di dominio di sola lettura tramite la riga di comando

Per rimuovere l'account computer del controller di dominio di sola lettura e reimpostare le password degli account memorizzati nella cache del controller di dominio di sola lettura, utilizzare i comandi ntdstuil, net user e netdom.

Il processo di rimozione di un account del controller di dominio di sola lettura tramite ntdsutil è descritto in Rimozione e reinstallazione del controller di dominio di sola lettura.

Per reimpostare le password degli account utente, è possibile utilizzare il comando net user <username> <password>. Ad esempio, per impostare su Tr@skw0rlN la password di un account denominato Bob nel dominio hq.cpandl.com, aprire un prompt dei comandi con privilegi elevati, digitare net user bob Tr@skw0rlN e quindi premere INVIO.

Per reimpostare le password degli account computer, è possibile utilizzare il comando seguente: netdom resetpwd /s:<computername> /ud:<domain>\<adminuser> /pd:*. Ad esempio, per reimpostare un account computer denominato Vista1 nel dominio hq.cpandl.com utilizzando un account denominato Dadmin che appartiene al gruppo Domain Admins, digitare netdom resetpwd /s:Vista1 /ud:hq.cpandl.com\Dadmin /pd:* e quindi premere INVIO. Quando richiesto, digitare la password dell'account Dadmin e quindi premere INVIO.

Per informazioni sulla creazione di uno script per reimpostare le password degli account utente, vedere le risorse seguenti:

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft