Esporta (0) Stampa
Espandi tutto

Procedure consigliate per Controllo dell'account utente in Windows 7

Aggiornamento: settembre 2009

Si applica a: Windows 7, Windows Server 2008 R2

noteNota
In questo documento vengono fornite informazioni dettagliate su Controllo dell'account utente in Windows 7 per i professionisti IT. Per assistenza e per informazioni sulle procedure relative all'utilizzo di Controllo dell'account utente in Windows 7 a casa, vedere gli articoli seguenti:

In questo documento vengono fornite informazioni aggiuntive relative a Controllo dell'account utente utili ai professionisti IT per sviluppare procedure consigliate di Controllo dell'account utente per ambienti Windows 7 e Windows Server 2008 R2. In questo documento non sono incluse informazioni complete per l'amministrazione di Controllo dell'account utente.

Non disabilitare Controllo dell'account utente

Si consiglia di non disattivare le richieste di Controllo dell'account utente nelle impostazioni di Criteri di gruppo o modificando l'impostazione del dispositivo di scorrimento.

Benché la richiesta di elevazione dei privilegi sia la parte più visibile di Controllo dell'account utente, questa funzionalità include anche i componenti sottostanti che offrono maggiore sicurezza riducendo al minimo le interruzioni del servizio, in particolare per gli utenti standard. Sono inclusi i due vantaggi seguenti:

  • Modalità protetta in Internet Explorer

  • Virtualizzazione file system e Registro di sistema

Se si disabilita Controllo dell'account utente per evitare la richiesta di elevazione dei privilegi, vengono disabilitate tutte le funzionalità di Controllo dell'account utente. Considerare piuttosto di configurare Controllo dell'account utente per elevare i privilegi senza richiesta. In questo caso, le applicazioni contrassegnate come applicazioni dell'amministratore, nonché le applicazioni di installazione, verranno automaticamente eseguite con il token di accesso dell'amministratore completo. Tutte le altre applicazioni verranno eseguite automaticamente con il token utente standard. La funzionalità aggiuntiva di Controllo dell'account utente viene mantenuta.

Dispositivo di scorrimento di Controllo dell'account utente nell'organizzazione

  • L'impostazione del dispositivo di scorrimento in ogni computer client Windows 7 deriva da Criteri di gruppo.

  • Gli utenti standard possono visualizzare e modificare le impostazioni del dispositivo di scorrimento solo fornendo le credenziali per un account Administrator locale alla richiesta di credenziali di Controllo dell'account utente.

  • Gli utenti in esecuzione come amministratore locale ricevono un prompt di conferma quando visualizzano o modificano le impostazioni del dispositivo di scorrimento.

  • La disattivazione di Controllo dell'account utente in Criteri di gruppo o mediante l'impostazione del dispositivo di scorrimento su Non notificare mai richiede un riavvio, per l'aggiornamento e la riapplicazione delle impostazioni di Criteri di gruppo.

Nella tabella seguente vengono fornite impostazioni dei Criteri di gruppo equivalenti per ogni impostazione del dispositivo di scorrimento. Per informazioni e consigli sulle impostazioni di Criteri di gruppo, fare riferimento alla sezione Configurare le impostazioni di Criteri di gruppo per Controllo dell'account utente.

 

Impostazione del dispositivo di scorrimento Impostazioni di Criteri di gruppo equivalenti

Notifica sempre

  • L'impostazione relativa ai criteri Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore è impostata su Richiedi consenso sul desktop sicuro.

  • L'impostazione relativa ai criteri Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro è abilitata.

Notifica solo quando un programma tenta di eseguire modifiche nel computer (impostazione predefinita)

  • L'impostazione relativa ai criteri Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore è impostata su Richiedi consenso per file binari non Windows.

  • L'impostazione relativa ai criteri Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro è abilitata.

Notifica solo quando un programma tenta di eseguire modifiche nel computer (senza desktop sicuro)

  • L'impostazione relativa ai criteri Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore è impostata su Richiedi consenso per file binari non Windows.

  • L'impostazione relativa ai criteri Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro è disabilitata.

  • L'impostazione relativa ai criteri Comportamento della richiesta di elevazione dei privilegi per gli utenti standard è impostata su Richiedi credenziali.

Non notificare mai

noteNota
Per rendere effettiva questa impostazione è necessario un riavvio.

  • L'impostazione relativa ai criteri Comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore è impostata su Esegui con privilegi elevati senza chiedere conferma.

  • L'impostazione relativa ai criteri Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro è disabilitata.

  • L'impostazione relativa ai criteri Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore è disabilitata.

  • Controllo dell'account utente è disabilitato.

Utilizzare account utente standard

È opportuno che gli utenti utilizzino sempre account utente standard con le eccezioni seguenti:

Impostare come account utente primario un account utente standard. Per gli utenti cui è consentito eseguire attività amministrative nei computer client, creare un account Administrator locale per l'esecuzione di tali attività amministrative. Quando un utente effettua l'accesso con un account utente standard e tenta di eseguire un'attività amministrativa, viene visualizzata la richiesta di credenziali. È necessario che l'utente immetta un nome utente e una password di amministratore e scelga per eseguire l'attività.

Quando gli utenti effettuano l'accesso come utenti standard e devono eseguire attività amministrative, possono inoltre passare rapidamente tra i due account tramite la funzionalità Cambio rapido utente. Cambio rapido utente è una funzionalità di Windows che consente a un utente di passare a un altro account utente senza prima chiudere programmi o file. L'utente può passare rapidamente all'account Administrator senza interrompere le attività correnti.

Per cambiare account utente senza effettuare la disconnessione

  1. Fare clic sul pulsante Start, quindi sulla freccia a destra del pulsante Chiudi sessione.

  2. Fare clic su Cambia utente.

  3. Fare clic sull'account utente da utilizzare.

    ImportantImportante
    Benché non sia necessario chiudere programmi o file prima di cambiare utente, è consigliabile salvare i file aperti prima di cambiare utente. Se l'utente passa a un secondo utente e quest'ultimo spegne il computer, le eventuali modifiche non salvate apportate dal primo utente possono andare perse.

Configurare le impostazioni di Criteri di gruppo di Controllo dell'account utente

Sono disponibili 10 impostazioni di Criteri di gruppo che controllano il comportamento di Controllo dell'account utente. Come procedura consigliata, configurare le impostazioni di Criteri di gruppo di Controllo dell'account utente per in base all'ambiente in uso. Nella tabella seguente vengono descritte le procedure consigliate per le impostazioni di Criteri di gruppo di Controllo dell'account utente.

 

Impostazione di Criteri di gruppo Valore predefinito Procedura consigliata

Controllo dell'account utente: modalità Approvazione amministratore per l'account amministratore predefinito

Disabilitata

Quando questa impostazione relativa ai criteri viene disabilitata, equivale all'opzione Non notificare mai del dispositivo di scorrimento quando un utente accede come amministratore incorporato.

Non è consigliabile utilizzare l'account Administrator predefinito, ma se lo si utilizza è necessario abilitare questa impostazione relativa ai criteri in modo da visualizzare per l'utente una richiesta di Controllo dell'account utente. Disabilitare questa impostazione relativa ai criteri solo quando sono presenti applicazioni legacy critiche che non sono conformi a Controllo dell'account utente e non è possibile risolvere il problema con altre soluzioni. Per informazioni sulla correzione dei problemi relativi alla compatibilità delle applicazioni, vedere la pagina relativa alla pianificazione e distribuzione di database di compatibilità delle applicazioni per Windows 7 nel contesto di Controllo dell'account utente (http://go.microsoft.com/fwlink/?LinkID=148442, la pagina potrebbe essere in inglese).

Controllo dell'account utente: consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione dei privilegi senza utilizzare il desktop sicuro

Disabilitata

Quando questa impostazione criteri viene disabilitata, la richiesta di elevazione dei privilegi viene visualizzata sul desktop sicuro. Se si intende utilizzare la funzionalità Assistenza remota, è opportuno abilitare questa impostazione relativa ai criteri. Se l'impostazione relativa ai criteri non è abilitata, quando la richiesta di elevazione dei privilegi viene visualizzata sul desktop sicuro del computer remoto l'assistente remoto riceve uno schermo vuoto.

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore

Richiedi consenso per file binari non Windows

Con l'impostazione predefinita (Richiedi consenso per file binari non Windows) viene richiesto solo il consenso per l'esecuzione di applicazioni e file eseguibili non Windows.

L'impostazione Richiedi consenso è consigliata in un ambiente meno sicuro dove non sono richieste le credenziali.

L'impostazione Richiedi credenziali è consigliata in ambienti a elevata sicurezza dove vengono richieste le credenziali, ma non è obbligatoria la sicurezza aggiuntiva del desktop sicuro.

L'impostazione Richiedi consenso sul desktop sicuro è consigliata in ambienti meno sicuri dove non vengono richieste le credenziali, ma è richiesta la sicurezza aggiuntiva del desktop sicuro.

noteNota
Alcuni problemi relativi ai driver video possono comportare un ritardo nel passaggio al desktop sicuro.

L'impostazione Richiedi credenziali sul desktop sicuro è consigliata in ambienti a elevata sicurezza dove sono richieste le credenziali e la sicurezza aggiuntiva del desktop sicuro.

noteNota
Alcuni problemi relativi ai driver video possono comportare un ritardo nel passaggio al desktop sicuro.

Con l'impostazione Esegui con privilegi elevati senza chiedere conferma viene disattivata la funzionalità Controllo dell'account utente. È consigliabile utilizzare questa impostazione solo in un controller di dominio o in un server per utenti avanzati o amministratori del server. Questa impostazione non deve essere applicata a un computer client.

noteNota
Gli utenti non devono utilizzare Internet quando viene applicata questa impostazione.

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard

Richiedi credenziali sul desktop sicuro

L'impostazione predefinita (Richiedi credenziali sul desktop sicuro) consente agli utenti standard di eseguire attività che richiedono l'elevazione dei privilegi mediante la presentazione della richiesta di credenziali sul desktop sicuro. L'utente deve fornire credenziali valide per continuare. Questa impostazione non è consigliata in ambienti gestiti. L'impostazione Rifiuta automaticamente richieste di elevazione è consigliata in ambienti gestiti. Le elevazioni dei privilegi vengono negate automaticamente e viene visualizzato un messaggio configurabile relativo all'accesso negato.

Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione

Abilitata (casa)

Disabilitata (organizzazione)

Questa impostazione relativa ai criteri deve essere disabilitata se sono presenti utenti standard e si utilizza Criteri di gruppo Installazione software o Microsoft System Center Configuration Manager per distribuire le applicazioni. Quando questa impostazione relativa ai criteri è disabilitata, non viene eseguito il rilevamento dei pacchetti di installazione delle applicazioni.

Controllo dell'account utente: eleva solo file eseguibili firmati e convalidati

Disabilitata

Se nell'ambiente sono presenti applicazioni non firmate e non convalidate, è opportuno non abilitare questa impostazione relativa ai criteri. Quando questa impostazione relativa ai criteri è abilitata, è consentita solo l'esecuzione delle applicazioni firmate e di altri file eseguibili. A seconda del comportamento delle impostazioni di richiesta di elevazione dei privilegi per l'account utente, viene visualizzata una richiesta di consenso o di credenziali.

Controllo dell'account utente: solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri

Abilitata

Quando questa impostazione relativa ai criteri è abilitata, è consentita solo l'esecuzione delle applicazioni UIAccess installate in percorsi sicuri nel file system. I percorsi sicuri sono:

  • Programmi\, incluse le sottocartelle

  • Windows\System32\

  • Programmi (x86)\, incluse le sottocartelle (per le versioni a 64 bit)

Questa è l'impostazione consigliata.

Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore

Abilitata

È necessario abilitare questa impostazione relativa ai criteri e impostare correttamente le impostazioni relative ai criteri di Controllo dell'account utente correlate in modo da consentire l'esecuzione in modalità Approvazione amministratore dell'account Administrator predefinito e di tutti gli altri account utente membri del gruppo Administrators.

Quando questa impostazione è disabilitata, vengono disabilitate la modalità Approvazione amministratore e tutte le impostazioni relative ai criteri di Controllo dell'account utente correlate.

noteNota
Se questa impostazione relativa ai criteri è disabilitata, l'utente riceve una notifica da parte del Centro sicurezza PC relativa alla riduzione della sicurezza globale del sistema operativo.

Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro

Abilitata

Le impostazioni relative ai criteri sul comportamento delle richieste vengono utilizzate per amministratori e utenti standard per determinare se la richiesta di elevazione dei privilegi viene visualizzata sul desktop interattivo o sul desktop sicuro.

Quando questa impostazione relativa ai criteri è abilitata, tutte le richieste di elevazione dei privilegi vengono presentate sul desktop sicuro indipendentemente dalle impostazioni relative al comportamento delle richieste per amministratori e utenti standard. Gli utenti devono rispondere alla richiesta prima di potere continuare. Questa impostazione non è consigliata in ambienti gestiti.

Quando questa impostazione relativa ai criteri è disabilitata, è consentita la visualizzazione delle richieste di elevazione dei privilegi sul desktop interattivo. Le impostazioni relative ai criteri sul comportamento delle richieste per amministratori e utenti standard vengono utilizzate. La richiesta rimane visualizzata sul desktop interattivo finché l'utente non risponde, ma l'utente può continuare a lavorare senza rispondere alla richiesta.

Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente

Abilitata

Quando questa impostazione relativa ai criteri è abilitata, gli errori di scrittura dell'applicazione vengono reindirizzati in fase di esecuzione ai percorsi dell'utente definiti. Abilitare questa impostazione relativa ai criteri in ambienti in cui è necessario eseguire le applicazioni legacy come se fossero in esecuzione in Windows XP.

Quando questa impostazione relativa ai criteri è disabilitata, i tentativi delle applicazioni di scrivere nelle risorse privilegiate, ad esempio la cartella Programmi, hanno esito negativo. Disabilitare questa impostazione relativa ai criteri in ambienti in cui non è richiesta la virtualizzazione di file system e Registro di sistema.

Per ulteriori informazioni sulle impostazioni di Criteri di gruppo per Controllo dell'account utente, vedere la pagina relativa ai riferimenti tecnici per Controllo dell'account utente in Windows 7 (http://go.microsoft.com/fwlink/?LinkID=146195).

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft