Esporta (0) Stampa
Espandi tutto
Questo argomento non è stato ancora valutato - Valuta questo argomento

Definire le impostazioni di Criteri di gruppo per Controllo dell'account utente

Aggiornamento: giugno 2010

Si applica a: Windows 7, Windows Server 2008 R2

Sono presenti 10 diverse impostazioni di Criteri di gruppo che è possibile configurare per Controllo dell'account utente. In questa tabella sono elencati i valori predefiniti per ogni impostazione relativa ai criteri e nelle sezioni seguenti vengono illustrate le diverse impostazioni di Criteri di gruppo per Controllo dell'account utente e vengono forniti alcuni consigli.

 

Impostazione di Criteri di gruppo Valore predefinito

Controllo dell'account utente: modalità Approvazione amministratore per l'account Administrator predefinito

Disabilitato

Controllo dell'account utente: consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione dei privilegi senza utilizzare il desktop sicuro

Disabilitato

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore

Richiedi consenso per file binari non Windows

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard

Richiedi credenziali sul desktop sicuro

Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione

Abilitato (impostazione predefinita per i computer di casa)

Disabilitato (impostazione predefinita per le organizzazioni)

Controllo dell'account utente: eleva solo file eseguibili firmati e convalidati

Disabilitato

Controllo dell'account utente: solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri

Abilitato

Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore

Abilitato

Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro

Abilitato

Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente

Abilitato

Per ulteriori informazioni su ciascuna impostazione di Criteri di gruppo per Controllo dell'account utente, vedere la sezione relativa nella documentazione tecnica relativa a Controllo dell'account utente in Windows 7 (http://go.microsoft.com/fwlink/?LinkID=146195, la pagina potrebbe essere in inglese).

Sebbene le impostazioni di Criteri di gruppo per Controllo dell'account utente consentano ai reparti IT di scegliere come configurare Controllo dell'account utente, è opportuno fare alcune considerazioni relativamente alla creazione di nuovi criteri di sicurezza.

Richiesta di elevazione dei privilegi

Windows 7 include un'impostazione relativa ai criteri di sicurezza da utilizzare per impedire la simulazione della richiesta di elevazione dei privilegi. Questa impostazione relativa ai criteri (Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro) consente di passare dal desktop utente attivo al desktop sicuro quando un processo richiede l'elevazione dei privilegi. Il desktop sicuro è accessibile unicamente ai processi Windows principali e il malware non può comunicare con il desktop sicuro. Di conseguenza, tutte le richieste di elevazione dei privilegi sul desktop sicuro non possono essere controllate dalle applicazioni sul desktop utente. Questa impostazione relativa ai criteri è disabilitata per impostazione predefinita in Windows 7.

Applicazioni non conformi a Controllo dell'account utente

La disabilitazione dell'impostazione relativa ai criteri Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore comporta la disattivazione della funzionalità Controllo dell'account utente. Quando Controllo dell'account utente viene disattivato, i file e le cartelle non vengono più virtualizzati in percorsi distinti per ogni utente per le applicazioni non conformi a Controllo dell'account utente e tutti gli amministratori locali vengono connessi automaticamente con un token di accesso amministrativo completo. Disabilitando questa impostazione in Windows 7 viene ripristinato il modello utenti di Windows XP. Anche se per alcune applicazioni non conformi a Controllo dell'account utente sia consigliabile la disattivazione di Controllo dell'account utente, non è necessario procedere in questo modo perché Windows 7 include la virtualizzazione delle cartelle e del Registro di sistema per le applicazioni non conformi a Controllo dell'account utente per impostazione predefinita. La disattivazione di Controllo dell'account utente espone il computer a installazioni malware nel sistema. Se questa impostazione viene modificata, è necessario riavviare il sistema per rendere effettiva questa modifica.

Impostazioni inutilizzate di Criteri di gruppo per Controllo dell'account

La virtualizzazione consente l'utilizzo delle applicazioni non conformi a Controllo dell'account utente in Windows 7. Se nell'ambiente vengono utilizzate unicamente applicazioni conformi a Controllo dell'account utente, l'impostazione di Criteri di gruppo Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente non è necessaria e può essere disabilitata.

Poiché i programmi di installazione scrivono in genere in aree protette, ad esempio nella cartella Programmi, il modello Win32 richiede in genere che i programmi di installazione vengano eseguiti in un contesto amministrativo. L'impostazione relativa ai criteri Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione richiede una richiesta di elevazione dei privilegi quando viene rilevato un programma di installazione. Se tutte le applicazioni disponibili vengono distribuite tramite Gestione configurazione o un'altra tecnologia, l'elevazione dei privilegi per i programmi di installazione non è necessaria perché viene eseguita automaticamente dal relativo servizio eseguito come SYSTEM. In questo tipo di ambiente, questa impostazione relativa ai criteri può essere disabilitata.

Comportamento di runtime dell'applicazione

Il fatto che un'applicazione possa essere avviata o meno dipende dalla combinazione del livello di esecuzione richiesto nel database di compatibilità delle applicazioni (shim) e i diritti utente disponibili all'account utente da cui viene avviata l'applicazione. Nelle tabelle seguenti viene identificato il comportamento di runtime di un'applicazione in base alle combinazioni di privilegi utente e shim applicate.

Un amministratore in modalità Approvazione amministratore

Nella tabella seguente viene descritto il comportamento di runtime di un'applicazione per un amministratore in base all'impostazione relativa ai criteri Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore quando sono installati shim diversi.

 

Token di accesso al processo padre Impostazione relativa ai criteri Shim applicato dal database di compatibilità delle applicazioni

Nessuno o RunAsInvoker

RunAsHighest

RunAsAdmin

Amministratore protetto

Esegui con privilegi elevati senza chiedere conferma

L'applicazione viene avviata come utente standard senza chiedere conferma

L'applicazione viene avviata con un token di accesso amministrativo completo e senza richiesta

L'applicazione viene avviata con un token di accesso amministrativo completo e senza richiesta

Amministratore protetto

Richiedi consenso sul desktop sicuro

L'applicazione viene avviata con un token di accesso amministrativo completo e con la richiesta di consenso sul desktop sicuro

L'applicazione viene avviata con un token di accesso amministrativo completo e con la richiesta di consenso sul desktop sicuro

Amministratore protetto

Richiedi credenziali sul desktop sicuro

L'applicazione viene avviata con un token di accesso amministrativo completo e con la richiesta di credenziali sul desktop sicuro

L'applicazione viene avviata con un token di accesso amministrativo completo e con la richiesta di credenziali sul desktop sicuro

Amministratore protetto

Richiedi credenziali

L'applicazione viene avviata con un token di accesso amministrativo completo e con la richiesta di credenziali sul desktop interattivo dell'utente

L'applicazione viene avviata con un token di accesso amministrativo completo e con la richiesta di credenziali sul desktop interattivo dell'utente

Amministratore protetto

Richiedi consenso

L'applicazione viene avviata con un token di accesso amministrativo completo e con la richiesta di consenso sul desktop interattivo dell'utente

L'applicazione viene avviata con un token di accesso amministrativo completo e con la richiesta di consenso sul desktop interattivo dell'utente

Amministratore protetto

Richiedi consenso per file binari non Windows

L'applicazione non Windows viene avviata come utente standard

L'applicazione non Windows viene avviata con un token di accesso amministrativo completo e con la richiesta di consenso sul desktop interattivo dell'utente

L'applicazione non Windows viene avviata con un token di accesso amministrativo completo e con la richiesta di consenso sul desktop interattivo dell'utente

Amministratore (Controllo dell'account utente disabilitato)

Non applicabile

L'applicazione viene avviata con un token di accesso amministrativo completo e senza richiesta

L'applicazione viene avviata con un token di accesso amministrativo completo e senza richiesta

L'applicazione viene avviata con un token di accesso amministrativo completo e senza richiesta

Un account utente standard

Nella tabella seguente viene descritto il comportamento di runtime di un'applicazione per un utente standard in base all'impostazione relativa ai criteri Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard quando sono installati shim diversi.

 

Token di accesso al processo padre Criteri relativi al consenso Shim applicato dal database di compatibilità delle applicazioni

RunAsInvoker

RunAsHighest

RunAsAdmin

Utente standard

Rifiuta automaticamente richieste di elevazione

L'applicazione viene avviata come utente standard

L'applicazione viene avviata come utente standard

L'applicazione non viene avviata

Utente standard

Richiedi credenziali

L'applicazione viene avviata come utente standard

L'applicazione viene avviata come utente standard

Richiede le credenziali di amministratore sul desktop interattivo dell'utente

Utente standard

Richiedi credenziali sul desktop sicuro

L'applicazione viene avviata come utente standard

L'applicazione viene avviata come utente standard

Richiede le credenziali di amministratore sul desktop sicuro

Utente standard (Controllo dell'account utente disabilitato)

Non applicabile

L'applicazione viene avviata come utente standard

L'applicazione viene avviata come utente standard

L'applicazione non viene avviata

Un utente standard con privilegi aggiuntivi (ad esempio operatore di backup)

Nella tabella seguente viene descritto il comportamento di runtime di un'applicazione per un utente standard con privilegi aggiuntivi in base all'impostazione relativa ai criteri Controllo account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard quando sono installati shim diversi.

 

Token di accesso al processo padre Criteri relativi al consenso Shim applicato dal database di compatibilità delle applicazioni

RunAsInvoker

RunAsHighest

RunAsAdmin

Utente standard

Nessuna richiesta

L'applicazione viene avviata come utente standard

L'applicazione non viene avviata

L'applicazione non viene avviata

Utente standard

Richiedi credenziali

L'applicazione viene avviata come utente standard

Richiede le credenziali, quindi viene eseguita come utente standard con privilegi aggiuntivi

Richiede le credenziali di amministratore sul desktop interattivo dell'utente

Utente standard

Richiedi credenziali sul desktop sicuro

L'applicazione viene avviata come utente standard

Richiede le credenziali, quindi viene eseguita come utente standard con privilegi aggiuntivi

Richiede le credenziali di amministratore sul desktop sicuro

Utente standard (Controllo dell'account utente disabilitato)

Non applicabile

L'applicazione viene avviata come utente standard

Richiede le credenziali, quindi viene eseguita come utente standard con privilegi aggiuntivi

L'applicazione non viene avviata

Impostazioni registrazione

Utilizzare la tabella seguente per registrare le impostazioni per l'organizzazione.

 

Impostazione di Criteri di gruppo per Controllo dell'account utente Valore predefinito Impostazione per l'organizzazione

Controllo dell'account utente: modalità Approvazione amministratore per l'account Administrator predefinito

Disabilitato

Controllo dell'account utente: consenti alle applicazioni con accesso all'interfaccia utente di richiedere l'elevazione dei privilegi senza utilizzare il desktop sicuro

Disabilitato

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli amministratori in modalità Approvazione amministratore

Richiedi consenso per file binari non Windows

Controllo dell'account utente: comportamento della richiesta di elevazione dei privilegi per gli utenti standard

Richiedi credenziali sul desktop sicuro

Controllo dell'account utente: rileva installazione applicazioni e richiedi elevazione

Abilitato (impostazione predefinita per i computer di casa)

Disabilitato (impostazione predefinita per le organizzazioni)

Controllo dell'account utente: eleva solo file eseguibili firmati e convalidati

Disabilitato

Controllo dell'account utente: solo applicazioni con accesso all'interfaccia utente e con privilegi elevati installate in percorsi sicuri

Abilitato

Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore

Abilitato

Controllo dell'account utente: alla richiesta di elevazione passa al desktop sicuro

Abilitato

Controllo dell'account utente: virtualizza errori di scrittura su file e nel Registro di sistema in percorsi distinti per ogni utente

Abilitato

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft. Tutti i diritti riservati.