Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Se si chiama una delle funzioni di gestione di rete elencate in questo argomento in un controller di dominio che esegue Active Directory, l'accesso a un oggetto a protezione diretta è consentito o negato in base all'elenco di controllo di accesso (ACL) per l'oggetto. Gli elenchi di controllo di accesso vengono specificati nella directory.
Requisiti di accesso diversi si applicano alle query di informazioni e agli aggiornamenti delle informazioni.
Query
Per le query, l'ACL predefinito consente a tutti gli utenti autenticati e i membri del gruppo “accesso compatibile con Pre-Windows 2000” di leggere ed enumerare le informazioni. Le funzioni elencate di seguito sono interessate:
- NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
- NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
- NetQueryDisplayInformation
- NetSessionGetInfo (solo livelli 1 e 2)
- NetShareEnum (solo livelli 2 e 502)
- NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
- NetWkstaGetInfo, NetWkstaUserEnum
L'accesso anonimo alle informazioni di gruppo richiede che l'utente anonimo venga aggiunto in modo esplicito al gruppo "Accesso compatibile con Pre-Windows 2000". Ciò è dovuto al fatto che i token anonimi non includono il SID del gruppo Everyone.
Windows 2000: Per impostazione predefinita, il gruppo "Accesso compatibile pre-Windows 2000" include Tutti come membro. Ciò consente l'accesso anonimo (accesso anonimo) alle informazioni se il sistema consente l'accesso anonimo. Gli amministratori possono rimuovere Everyone dal gruppo "Accesso compatibile con Pre-Windows 2000" in qualsiasi momento. La rimozione di Tutti dal gruppo limita l'accesso alle informazioni solo agli utenti autenticati. Per altre informazioni sull'accesso anonimo, vedere identificatori di sicurezza e SID Well-Known.
È possibile eseguire l'override dell'impostazione predefinita del sistema impostando la chiave seguente nel Registro di sistema sul valore 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous = 1
Vedere NetWkstaGetInfo e NetWkstaUserEnum per altre informazioni sull'accesso anonimo alle informazioni sui gruppi quando si chiamano queste due funzioni.
Aggiornamenti
Per gli aggiornamenti, l'elenco di controllo di accesso predefinito consente solo agli amministratori di dominio e agli operatori account di scrivere informazioni. Un'eccezione è che gli utenti possono modificare la propria password e impostare il campo usri*_usr_comment. Un'altra eccezione è che gli operatori account non possono modificare gli account di amministrazione. Le funzioni elencate di seguito sono interessate:
- NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
- NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
- NetMessageBufferSend
- NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo
In genere, i chiamanti devono avere accesso in scrittura all'intero oggetto per le chiamate a NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo e NetLocalGroupSetInfo per avere esito positivo. Per un controllo di accesso più corretto, è consigliabile usare ADSI. Per ulteriori informazioni su ADSI, vedere Interfacce dei servizi di Active Directory.
Per altre informazioni sul controllo dell'accesso a oggetti a protezione diretta, vedere Controllo di accesso, Privilegie Oggetti a protezione diretta. Per altre informazioni sulla chiamata di funzioni che richiedono privilegi di amministratore, vedere Esecuzione con privilegi speciali.