Impostazioni dei criteri di gruppo usate in Autenticazione di Windows
Questo argomento di riferimento per professionisti IT descrive l'uso e l'impatto delle impostazioni di Criteri di gruppo nel processo di autenticazione.
È possibile gestire l'autenticazione nei sistemi operativi Windows aggiungendo account utente, computer e servizio ai gruppi e applicando criteri di autenticazione a tali gruppi. Questi criteri sono definiti come criteri di sicurezza locali e come modelli amministrativi, noti anche come impostazioni di Criteri di gruppo. Entrambi i set possono essere configurati e distribuiti in tutta l'organizzazione usando Criteri di gruppo.
Nota
Le funzionalità introdotte in Windows Server 2012 R2 consentono di configurare i criteri di autenticazione per i servizi o le applicazioni di destinazione, comunemente detti silo di autenticazione, usando account protetti. Per informazioni su come eseguire questa operazione in Active Directory, consultare la sezione Come configurare gli account protetti.
Ad esempio, è possibile applicare i criteri seguenti ai gruppi, in base alla relativa funzione nell'organizzazione:
Accedere in locale o a un dominio
Accedere tramite una rete
Reimpostare gli account
Creare account
La tabella seguente elenca i gruppi di criteri rilevanti per l'autenticazione e fornisce collegamenti alla documentazione che consente di configurare tali criteri.
Criteri di gruppo | Ufficio | Descrizione |
---|---|---|
Criteri password | Criteri del computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account | I criteri password influiscono sulle caratteristiche e sul comportamento delle password. I criteri password vengono usati per gli account di dominio o gli account utente locali. Determinano le impostazioni per le password, ad esempio, l'imposizione e la durata. Per informazioni sulle impostazioni specifiche, consultare la sezione Criteri password. |
Criteri di blocco account | Criteri del computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account | Le opzioni dei criteri di blocco dell'account disabilitano gli account dopo un set di tentativi di accesso non riusciti. L'uso di queste opzioni consente di rilevare e bloccare i tentativi di interruzione delle password. Per informazioni sulle opzioni dei criteri di blocco dell'account, consultare la sezione Criteri di blocco dell'account. |
Criteri Kerberos | Criteri del computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account | Le impostazioni correlate a Kerberos includono la durata dei ticket e le regole di imposizione. I criteri Kerberos non si applicano ai database dell'account locale perché il protocollo di autenticazione Kerberos non viene usato per autenticare gli account locali. Pertanto, le impostazioni dei criteri Kerberos possono essere configurate solo tramite l'oggetto Criteri di gruppo di dominio predefinito, in cui influisce sugli accessi al dominio. Per informazioni sulle opzioni dei criteri Kerberos per il controller di dominio, consultare la sezione Criteri Kerberos. |
Criteri di controllo | Criteri del computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Criteri di controllo | I criteri di controllo consentono di controllare e comprendere l'accesso a oggetti, ad esempio file e cartelle, e di gestire gli account utente e di gruppo e gli accessi e gli accessi degli utenti. I criteri di controllo possono specificare le categorie di eventi da controllare, impostare le dimensioni e il comportamento del log di sicurezza e determinare di quali oggetti monitorare l'accesso e il tipo di accesso da monitorare. |
Assegnazione diritti utente | Criteri del computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente | I diritti utente vengono in genere assegnati in base ai gruppi di sicurezza a cui appartiene un utente, ad esempio Amministratori, Utenti esperti o Utenti. Le impostazioni dei criteri in questa categoria vengono in genere usate per concedere o negare l'autorizzazione per accedere a un computer in base al metodo di accesso e alle appartenenze ai gruppi di sicurezza. |
Opzioni di sicurezza | Criteri computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni di protezione\Criteri locali\Opzioni di sicurezza. | I criteri rilevanti per l'autenticazione includono: - Dispositivi |
Delega di credenziali | Configurazione computer\Modelli amministrativi\Sistema\Delega di credenziali | La delega delle credenziali è un meccanismo che consente l'uso delle credenziali locali in altri sistemi, in particolare i server membri e i controller di dominio all'interno di un dominio. Queste impostazioni si applicano alle applicazioni usando il provider di supporto per la sicurezza delle credenziali (Cred SSP). Connessione desktop remoto è un esempio. |
KDC | Configurazione computer\Modelli amministrativi\Sistema\KDC | Queste impostazioni dei criteri influiscono sul modo in cui il Centro distribuzione chiavi (KDC), ovvero un servizio nel controller di dominio, gestisce le richieste di autenticazione Kerberos. |
Kerberos | Configurazione computer\Modelli amministrativi\Sistema\Kerberos | Queste impostazioni dei criteri influiscono sul modo in cui Kerberos è configurato per gestire il supporto per attestazioni, blindatura Kerberos, autenticazione composta, identificazione dei server proxy e altre configurazioni. |
Accesso | Configurazione computer\Modelli amministrativi\Sistema\Accesso | Queste impostazioni dei criteri controllano il modo in cui il sistema presenta l'esperienza di accesso per gli utenti. |
Accesso rete | Configurazione computer\Modelli amministrativi\Sistema\Accesso rete | Queste impostazioni dei criteri controllano il modo in cui il sistema gestisce le richieste di accesso di rete, incluso il comportamento del localizzatore di controller di dominio. Per maggiori informazioni sull'adattamento del localizzatore di controller di dominio ai processi di replica, consultare la sezione Informazioni sulla replica tra siti. |
Biometria | Configurazione computer\Modelli amministrativi\Componenti di Windows\Biometria | Queste impostazioni dei criteri in genere consentono o negano l'uso della biometria come metodo di autenticazione. Per informazioni sull'implementazione di Windows della biometria, consultare la sezione Panoramica di Windows Biometric Framework. |
Credenziali interfaccia utente | Configurazione computer\Modelli amministrativi\Componenti di Windows\Credenziali interfaccia utente | Queste impostazioni dei criteri controllano la modalità di gestione delle credenziali al punto di ingresso. |
Sincronizzazione delle password | Configurazione computer\Modelli amministrativi\Componenti di Windows\Sincronizzazione password | Queste impostazioni dei criteri determinano il modo in cui il sistema gestisce la sincronizzazione delle password tra i sistemi operativi basati su Windows e UNIX. Per maggiori informazioni, consultare la sezione Sincronizzazione password. |
Smart card | Configurazione computer\Modelli amministrativi\Componenti di Windows\Smart card | Queste impostazioni dei criteri controllano il modo in cui il sistema gestisce gli accessi tramite smart card. |
Windows Logon Options | Configurazione computer\Modelli amministrativi\Componenti di Windows\Opzioni di accesso Windows | Queste impostazioni dei criteri controllano quando e come sono disponibili le opportunità di accesso. |
Opzioni Ctrl+Alt+CANC | Configurazione computer\Modelli amministrativi\Componenti di Windows\Opzioni Ctrl+Alt+CANC | Queste impostazioni dei criteri influiscono sull'aspetto e l'accessibilità alle funzionalità nell'interfaccia utente di accesso (Desktop protetto), ad esempio Gestione attività e blocco da tastiera del computer. |
Accesso | Configurazione computer\Modelli amministrativi\Componenti di Windows\Accesso | Queste impostazioni dei criteri determinano se o quali processi possono essere eseguiti quando l'utente accede. |