Distribuire i controlli di sicurezza con criteri di controllo centrale (passaggi dimostrativi)

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

In questo scenario controllerai l'accesso ai file nella cartella Documenti finanziari utilizzando i criteri finanziari creati in Distribuire un criterio di accesso centrale (passaggi dimostrativi). Se un utente non autorizzato tenta di accedere alla cartella, l'attività viene registrata dal visualizzatore eventi. Per testare questo scenario, è necessario eseguire la procedura seguente.

Attività	Descrizione
Configura l'accesso agli oggetti globali	Questo passaggio consente di configurare il criterio di accesso agli oggetti globale nel controller di dominio.
Aggiorna le impostazioni dei Criteri di gruppo	Accedere al file server e applicare l'aggiornamento dei Criteri di gruppo.
Verifica che i criteri di accesso agli oggetti globali siano stati applicati	Utilizzare il visualizzatore eventi per visualizzare gli eventi pertinenti, tra cui i metadati relativi al Paese e al tipo di documento.

Configura i criteri di accesso agli oggetti globali

Questo passaggio consente di configurare il criterio di accesso agli oggetti globale nel controller di dominio.

Per configurare un criterio di accesso agli oggetti globale

1. Accedi al controller di dominio DC1 come contoso\administrator con la password pass@word1.

2. In Server Manager scegli Strumenti , quindi clicca su Gestione criteri di gruppo.

3. Nell'albero della console fai doppio clic su Domini, fai doppio clic su contoso.com, clicca su Contoso, quindi fai doppio clic su file server.

4. Clicca con il pulsante destro su FlexibleAccessGPO e clicca su Modifica.

5. Fai doppio clic su Configurazione computer , fai doppio clic su Criteri , quindi fai doppio clic su Impostazioni di Windows.

6. Fai doppio clic su Impostazioni di sicurezza, fai doppio clic su Configurazione avanzata dei criteri di controllo, quindi fai doppio clic su Criteri di controllo.

7. Fai doppio clic su Accesso agli oggetti, quindi fai doppio clic su Audit File System.

8. Seleziona la casella di controllo Configura gli eventi seguenti, seleziona le caselle di controllo Operazione riuscita ed Errore, quindi clicca su OK.

9. Nel riquadro di spostamento, fai doppio clic su Global Object Access Auditing, quindi fai doppio clic su File system.

10. Seleziona la casella di controllo Definisci questa impostazione dei criteri e fai clic su Configura.

11. Nella casella Impostazioni avanzate di sicurezza per i file globali SACL, clicca su Aggiungi, quindi clicca su Selezionare un'entità, digita Tutti e quindi clicca su OK.

12. Nella casella Voce di controllo per file globale SACL, seleziona Controllo completo nella casella Autorizzazioni .

13. Nella sezione Aggiungi una condizione:, clicca su Aggiungi una condizione e, nell'elenco a discesa seleziona [Risorsa] [Reparto] [Qualsiasi] [Valore] [Finanza].

14. Clicca tre volte OK per completare la configurazione dell'impostazione dei criteri di controllo d'accesso agli oggetti globali.

15. Nel riquadro di spostamento, clicca su Accesso agli oggettie nel riquadro dei risultati fai doppio clic su Controlla modifica handle. Clicca su Configura gli elementi di controllo seguenti, Operazione riuscita ed Errore, clicca su OK e quindi chiudi l'oggetto Criteri di gruppo di accesso flessibile.

Aggiorna le impostazioni dei Criteri di gruppo

Questo passaggio consente di aggiornare le impostazioni di Criteri di gruppo dopo aver creato il criterio di controllo.

Per aggiornare le impostazioni di Criteri di gruppo

1. Accedi al file server, FILE1 come contoso\Administrator, con la password pass@word1.

2. Premi il tasto Windows+R, quindi digita cmd per aprire una finestra del prompt dei comandi.

   Nota

   Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Sì.

3. Digita gpupdate /force e quindi premi INVIO.

Verifica che siano stati applicati i criteri di accesso agli oggetti globali

Dopo aver applicato le impostazioni dei Criteri di gruppo, è possibile verificare che siano state applicate correttamente le impostazioni di controllo.

Per verificare l'applicazione del criterio di accesso agli oggetti globale

1. Accedere al computer client CLIENT1 come Contoso\MReid. Passa alla cartella HYPERLINK "file:///\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents e modificare il documento 2 di Word.

2. Accedere al file server FILE1 come contoso\administrator. Apri il Visualizzatore eventi, passa a log di Windows, seleziona sicurezza e verifica che le attività abbiano generato eventi di controllo 4656 e 4663 (anche se non sono state impostate SACL di controllo esplicite nei file o nelle cartelle create, modificate ed eliminate).

Importante

Nel computer che ospita la risorsa viene generato un nuovo evento di accesso per conto dell'utente per il quale vengono monitorati gli accessi validi. Quando i registri di controllo della sicurezza vengono analizzati per individuare le attività di accesso degli utenti, per differenziare tra gli eventi di accesso generati dall'accesso valido e gli eventi di accesso generati da un accesso utente interattivo alla rete vengono fornite informazioni sul Livello rappresentazione. Quando l'evento di accesso è generato da un accesso valido, il Livello rappresentazione è Identità. L'accesso utente interattivo alla rete genera normalmente un evento di accesso con Livello rappresentazione = Rappresentazione oppure Delega.

Vedi anche

• Scenario: controllo dell'accesso ai file

• Pianificare il controllo dell'accesso ai file

• Controllo dinamico degli accessi: Panoramica dello scenario