Requisiti per le funzioni di gestione della rete nei controller di Dominio di Active Directory

Se si chiama una delle funzioni di gestione di rete elencate in questo argomento in un controller di dominio che esegue Active Directory, l'accesso a un oggetto a protezione diretta è consentito o negato in base all'elenco di controllo di accesso (ACL) per l'oggetto. Gli ACL vengono specificati nella directory.

I requisiti di accesso diversi si applicano alle query di informazioni e agli aggiornamenti delle informazioni.

Query

Per le query, l'ACL predefinito consente a tutti gli utenti autenticati e ai membri del gruppo "Accesso compatibile con Windows 2000 pre-Windows 2000" per leggere ed enumerare le informazioni. Le funzioni elencate di seguito sono interessate:

• NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
• NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
• NetQueryDisplayInformation
• NetSessionGetInfo (solo livelli 1 e 2)
• NetShareEnum (solo livelli 2 e 502)
• NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGetGet
• NetWkstaGetInfo, NetWkstaUserEnum

L'accesso anonimo alle informazioni del gruppo richiede che l'utente Anonimo venga aggiunto in modo esplicito al gruppo "Accesso compatibile con Windows 2000 pre-Windows 2000". Questo perché i token anonimi non includono il SID gruppo Tutti.

Windows 2000: Per impostazione predefinita, il gruppo "Accesso compatibile con Windows 2000" include Tutti come membro. Ciò consente l'accesso anonimo (accesso anonimo) alle informazioni se il sistema consente l'accesso anonimo. Gli amministratori possono rimuovere tutti dal gruppo "Accesso compatibile con Windows 2000" in qualsiasi momento. La rimozione di Tutti dal gruppo limita l'accesso alle informazioni solo agli utenti autenticati. Per altre informazioni sull'accesso anonimo, vedere Identificatori di sicurezza e SID noti.

È possibile eseguire l'override dell'impostazione predefinita del sistema impostando la chiave seguente nel Registro di sistema sul valore 1:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaTuttiIncludesAnonymous = 1

Vedere NetWkstaGetInfo e NetWkstaUserEnum per altre informazioni sull'accesso anonimo alle informazioni sui gruppi quando si chiamano queste due funzioni.

Aggiornamenti

Per gli aggiornamenti, l'elenco di controllo di accesso predefinito consente solo agli amministratori di dominio e agli operatori account di scrivere informazioni. Un'eccezione è che gli utenti possono modificare la propria password e impostare il campo usri*_usr_comment. Un'altra eccezione è che gli operatori account non possono modificare gli account di amministrazione. Le funzioni elencate di seguito sono interessate:

• NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
• NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
• NetMessageBufferSend
• NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo

In genere, i chiamanti devono avere accesso in scrittura all'intero oggetto per le chiamate a NetUserModalsSet,NetUserSetInfo, NetGroupSetInfo e NetLocalGroupSetInfo per esito positivo. Per il controllo di accesso più corretto, è consigliabile usare ADSI. Per altre informazioni su ADSI, vedere Interfacce del servizio Active Directory.

Per altre informazioni sul controllo dell'accesso agli oggetti a protezione diretta, vedere Controllo di accesso, Privilegi e Oggetti a protezione diretta. Per altre informazioni sulla chiamata di funzioni che richiedono privilegi di amministratore, vedere Esecuzione con privilegi speciali.