Principi di WinNT Security

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
ISA Server 2004 Configurazione di Accessi via VPN
Introduzione ad Active Directory
Liberiamo(ci) (dal)le applicazioni con Softgrid
Configuring Network Access
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Sistema di gestione flussi documentali
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Università degli Studi di Modena e Reggio Emilia
Sicurezza e Policy in Active Directory
Introduzione ad Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
Active Directory.
ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Seminario Sicurezza Informatica: Windows NT Security
Gruppo Windows Gian Piero Siroli, Dip. di Fisica, Universita di Bologna e INFN Workshop su Calcolo e Reti INFN, Otranto, Giugno 2006.
Architettura del World Wide Web
File System NTFS 5.0 Disco: unità fisica di memorizzazione
09/01/041Security Sicurezza del sistema di rete Non è necessaria per il funzionamento della rete, ma è auspicabile per semplificarne la gestione. Consente.
Security Enhanced Linux (Selinux) A cura di : De Pascale Filippo 1.
Organizzazione della Memoria (Unix) Text contiene le istruzioni in linguaggio macchina del codice eseguibile, può essere condiviso in caso di processi.
SOFTWARE I componenti fisici del calcolatore (unità centrale e periferiche) costituiscono il cosiddetto Hardware (alla lettera, ferramenta). La struttura.
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
CORSO OPERATORE AVANZATO
Ing. Enrico Lecchini BetaTre S.r.l.
Sicurezza in Windows NT Fabrizio Inguglia. Tratteremo: Struttura generale di Windows NT 4 Gestione delle politiche di sicurezza.
Corso di Informatica per Giurisprudenza Lezione 7
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Guida IIS 6 A cura di Nicola Del Re.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Un problema importante
Configurazione di una rete Windows
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
IPSec Fabrizio Grossi.
Active Directory e Gestione Utenti di Valerio Di Bacco.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Protocolli e architetture per WIS. Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di.
Stage estivo 2007 informatica Gestione delle infrastrutture e dei servizi di rete su piattaforme linux e windows Partecipanti: Apolito Luca Balzano Andrea.
INTERFACCE Schede elettroniche che permettono al calcolatore di comunicare con le periferiche, che possono essere progettate e costruite in modo molto.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMING E PUNTAMENTO SU AFS ASPETTI INTRODUTTIVI dicembre revisione maggio 2003 AMANZI NUNZIO –
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
PiattaformePiattaformePiattaformePiattaforme Antonio Cisternino 28 Gennaio 2005 OpenSourceOpenSourceOpenSourceOpenSource e ProprietarieProprietarieProprietarieProprietarie.
Servizi Internet Claudia Raibulet
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Tecnologie lato Server: i Server Web © 2005 Stefano Clemente I lucidi sono in parte realizzati con materiale tratto dal libro di testo adottato tradotto.
Stages Estivi 9-20 Giugno 2008 Davide Carosini ( E.Fermi-Roma ) Gian Marco Merici ( G.Ferraris-Roma ) Massimo Rosselli ( G.Lattanzio-Roma ) Federico Ruggieri.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
IV Corso di formazione INFN per amministratori di siti GRID Tutorial di amministrazione DGAS Giuseppe Patania.
1 OpenACS Quasi tutte le applicazioni Web hanno gli stessi fabbisogni 1.Rappresentare persone e relazioni 2.Controllare l’accesso a funzionalità e dati.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Transcript della presentazione:

Principi di WinNT Security LNF INFN Computing Service Principi di WinNT Security Meccaniche di autorizzazione e user profiling per l’accesso alla piattaforma windows Nunzio AMANZI, LNF - INFN E-mail: Nunzio.Amanzi@lnf.infn.it www: http://www.lnf.infn.it/~amanzi Phone: +39 6 94 03 2607-8225

Autenticazione e Autorizzazione Meccaniche di accesso ai servizi di rete server server Serv. autenticazione Serv. autenticazione 1 server server Serv. autorizzazione Serv. autorizzazione 2 1 2 server server Servizio Applicazione Servizio Applicazione Client Client 3 3 Autenticazione: processo di convalida delle credenziali utente (username – password - dominio) presso un Account DB Identificazione-Autorizzazione: rilascio di un pacchetto cifrato di informazioni che identifica l’utente durante tutta la sessione Autorizzazione-Accesso: confronto/convalida delle informazioni contenute nel pacchetto di identificazione, presentato dal client, con le autorizzazioni ammesse per la risorsa richiesta storage database Servizio Applicazione Risorse tipo mail application web printers Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Autenticazione e Autorizzazione Livello di autenticazione E’ generalmente il livello della pila OSI-ISO al quale intervengono i processi di autenticazione per l’accesso ai servizi di rete. Indica anche il livello e/o il complesso delle risorse dell’host a cui e’ possibile accedere presentando il pacchetto di identificazione emesso a seguito dell’autenticazione. Livello 2: per connettere la piattaforma in rete ed ottenere un indirizzo IP Livello 3: per accedere agli oggetti serviti dal S.O. (es. file system, stampanti, ecc. ) Livello 5: per accedere ai servizi di rete (es. www, mail, ecc.) Livello 7: per accedere alle applicazioni e servizi di alto livello Le infrastrutture e i processi di autenticazione ai livelli inferiori possono essere a servizio delle procedure di accesso ai livelli superiori. L’accesso ai livelli superiori puo’/deve presupporre l’autenticazione/autorizzazione ai livelli inferiori. Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Autenticazione e Autorizzazione Ambito di autenticazione e Single-Sign-On Ambito di Autenticazione Complesso degli host, risorse, servizi che condividono, ad un determinato livello, lo stesso sistema di autenticazione in corrispondenza del quale essi rilasciano di volta in volta le autorizzazioni di accesso. Autent. locale: ogni postazione alla quale si accede utilizza un proprio Account DB Autent. centralizzata: tutte le postazioni di accesso utilizzano un unico Account DB Single Sign On Caratteristica che circoscrive le piattaforme, i servizi, le applicazioni ai quali e’ possibile accedere a seguito di un unico processo di autenticazione, senza che la stessa sia richesta/necessaria ogni volta. Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Autenticazione e Autorizzazione Schematizzazione degli ambiti Applications A. Liv. 7 Services A. Liv. 5 DCOM Object File Sys. Obj. Registry O.S. Resources A. Liv. 3 Livello Autenticazione API Divers Kernel WIN Platform Architecture Autenticazione Autorizzazione Autent. Server LAN host host host Accesso Ambito Autenticazione (Centralizzata) WIN Platform Architecture Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Autenticazione e Autorizzazione Regole di accesso Diritto Diritto di Accesso Privilegio Regola associata ad un oggetto che determina quali utenti e/o gruppi possono eseguire una specifica azione. Regola associata ad un oggetto che determina per quali utenti e/o gruppi e’ garantito o negato l’accesso. Permesso Regola associata ad un oggetto che determina per quali utenti e/o gruppi e in quale modalita’ e’ garantito o negato l’accesso. Detto anche permesso discrezionale. Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security Accesso alle risorse e oggetti di sistema Risorse del Sist. Operativo File System (folders – files) Code di stampa Windows Token Componenti DCOM Win Registry Servizi Directory Necessario Token Windows Group Policy Processi Management Tools Login Interattivo (locale – remoto) Token Particolare pacchetto cifrato di identificazione, rilasciato dall’infrastruttura di autorizzazione, che contiene informazioni di protezione costituite dagli ID dell’utente, dai gruppi di appartenenza e dall’elenco dei privilegi associati. Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security Token Windows Windows Token SID: Identificatori di protezione Identificano univocamente un utente o un gruppo Sono memorizzati come dati binari Sono rappresentati come stringhe Per un host windows, che non e’ controller di dominio, sono definiti nel SAM DB e mappati nel Registro di Configurazione ID ID di sessione ID utente SID ID dei gruppi dell’utente Elenco privilegi dell’utente Privilegi Definiscono permessi speciali Concedono facolta’ di azione (es.: eseguire lo shutdown locale e/o remoto) Non interessano necessariamente l’accesso agli aggetti di sistema Sono attribuiti ad utenti e/o gruppi La maggior parte sono inizialmente disabilitati per sicurezza Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security Autenticazione e Autorizzazione Locale Autenticazione: la LSA convalida delle credenziali utente (username – password) presso un Account DB (SAM) residente/esportato dal Registro Windows Identificazione-Autorizzazione: la LSA rilascia un informazioni di protezione in un token che definiscono l’utente, i relativi gruppi di appartenenza, i diritti/privilegi Autorizzazione-Accesso: le informazioni contenute nel token sono confrontate/convalidate mediante la lista di autorizzazioni definite per la risorsa richiesta al fine di: Autorizzare e disciplinare l’accesso Generare logs per gli eventi di accesso che si intente monitorare 1 Accounts Table 1 2 AuthorizationTable SYSTEM AUTHORITY SAM Security DB 2 SACL 3 Access Logs DB 3 client 3 DACL Service/Resource win host I processi di autenticazione e autorizzazione sono definiti da un complesso di regole che contraddistingue un Protocollo di Autenticazione Protocolli Auth. Windows Kerberos V (Dominio) NTLM (Workgroup) Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security SAM Account DB %systemroot%\system32\config HKEY_LOCAL_MACHINE\SAM Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security Livelli di autorizzazione Accesso locale (login interattivo) Accesso tramite rete REGOLE DI ACCESSO Filtri IP (locali e/o esterni) Criteri di Dominio Windows Criteri di Protezione Diritti e Privilegi Computer Layer CONTROLLO E AUTORIZZAZIONE Elenchi DACL o Permessi basati sull’accesso Service Layer Elenchi DACL e Elenchi SACL Resource Layer Per l’accesso vengono confrontati le informazioni di protezione contenute nel token con le autorizzazioni definite ai vari livelli Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security Computer Layer Diritti Utente Diritti di Accesso accesso dalla rete accesso locale Autorizzazioni di accesso nega accesso dalla rete nega accesso locale … Privilegi Impostazioni discrezionali solo per utenti e/o gruppi acquis. propr. oggetti carica driver periferiche backup file e folder Autorizzazioni facolta’/azioni arrestare il sistema modifica l’orario sistema … Le impostazioni locali possono essere modificate tramite il comando secpol.msc (Windows XP/Server 2003) possono essere sovrascritte/ereditate se il pc e’ membro di un dominio Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security Service Layer Le autorizzazioni: possono essere definite nell’ambito di elenchi di controllo discrezionali sia in base ai SIDs (utenti e/o gruppi) che in base alla modalita’ di accesso Possono contemplare solo specifiche modalita’ di accesso per le quali l’autorizzazione e concessa o negata senza discrezionalita’ sull’utente o sui gruppi 1 – DACL per condivisione folder 2 – Autorizzazioni di accesso per web-folder Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security Resource Layer: DACL DACL (Elenchi discrezionali controllo accesso) Elenco relativo agli utenti e/o gruppi ai quali sono attribuite le autorizzazioni ACE (Access Control Entries) elenco permessi di accesso relativi all’oggetto, assegnati/negati all’utente e/o al gruppo Le autorizzazioni: Sono discrezionali rispetto all’utente/gruppo e alla modalita’ di accesso Sono definite dal proprietario dell’oggetto e da utente autorizzato A livello di container padre (es. folder) sono definite le politiche di propagazione per ereditarieta’ Possono essere ereditate o no da un oggetto figlio Possono essere applicate/ripristinate dal padre a tutti gli oggetti subordinati Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Principi di WNT-Security Resource Layer: SACL SACL (Elenchi discrezionali controllo del sistema) Elenco relativo agli utenti e/o gruppi dei quali si intende monitorare dichiarati eventi di accesso (riusciti/falliti) Monitoraggio eventi accesso oggetti Audit Procedure Abilitazione dell’Audit a livello di sistema mediante secpol.msc Definizione delle autorizzazioni associate agli accessi da intercettare/loggare Gli eventi sono letti tramite eventvwr.msc 2 1 3 Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling Contesto e profilo utente Identificazione utente. All’utente autenticato sono associate informazioni e risorse relative di autorizzazione, configurazione, preferenze e politiche per l’accesso e l’uso del sistema. Environment o contesto utente Profilo utente Token Risorse O.S. Home Dir GPO Utente Accesso da rete Interfaccia GUI – CMD Line Variabili ambiente Flussi di I/O Contesti visualizzazione Login interattivo e/o esecuzione processi Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling Management Tools Una piattaforma windows puo’ essere amministrata mediante un unico strumento GUI denominato Microsoft Management Console La console e’ attivabile in Start/Run mediante il comando mmc.exe La gestione si esplica mediante particolari file .msc denominati snap-in Gli snap-in predefiniti risiedono in %systemroot%\system32 Ogni snap.in costituisce un’interfaccia di gestione e definisce le regole, i metodi di accesso alla specifica base dei dati con la quale si intente interagire Distinti snap-in possono essere aggregati in un unico file .msc tramite MMC L’utente interagisce tramite l’interfaccia con la Base Dati prescindendo dalla sua collocazione fisica User Management Console (mmc.exe) Interfaccia Snap-in (file.msc) Base Dati Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling Snap-In locali predefiniti certmgr.msc Gestione Certificati Host/Utenti ciadv.msc Sistema indicizzazione file (ottimizza le ricerche) compmgmt.msc Servizi componenti devmgmt.msc Gestione periferiche dfrg.msc Deframmentazione file system diskmgmt.msc Amministrazione dischi – volumi - partizioni eventvwr.msc Visualizzazione eventi di sistema fsmgmt.msc Gestione oggetti condivisi gpedit.msc Amministrazione Group Policies locali (GPO) lusrmgr.msc Gestione account utenti e gruppi ntmsmgr.msc Archivi e supporti rimovibili perfmon.msc Monitoraggio prestazioni – Gestione Alert rsop.msc Elaborazione Criteri di Gruppo Risultante secpol.msc Criteri di protezione locali services.msc Servizi wmimgmt.msc Gestione console e servizi WMI comexp.msc Servizi e moduli componenti (DCOM – ActiveX) iis.msc Internet Information Services – Servizio Web, FTP, SMTP Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling GPO: generalita’ sullo snap-in Criteri Account Criteri Controllo Security Diritti Accesso Privilegi Opz. Protezione Computer Policies Settings Group Policies Objects Applicativi Servizi Logon Scripts Startup Scripts Settings User Policies Desktop Preferences Profile Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling GPO: struttura e composizione criterio Not configured I CRITERI DI GRUPPO costituiscono politiche o regole di alto livello sono strutturati in categorie possono avere impostazioni associate valore Disabled Enabled Impostazioni tipiche di un criterio di GPO Caratterizzare la policy, la regola espressa dal criterio Fornire una descrizione esplicativa Definire l’elenco delle impostazioni di alto livello ammesse Definizione di un criterio Definire un riferimento ovvero una procedera di accesso alla base di dati associata che contiene le impostazioni di basso livello Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling GPO: caratteristiche di applicazione GENERALITA’ SULL’APPLICAZIONE DELLE GPO I criteri di Configurazione Computer sono applicati al computer indipendentemente dall’utente che esegue l’accesso I criteri di Configurazione Utente sono applicati agli utenti, che eseguono la sessione di login interattivo, indipendentemente dal computer al quale essi accedono Sono definiti a livello locale Sono definiti a livello di contenitori di Active Directory Nel dominio sono trasmessi agli oggetti utente e computer secondo meccanismi gerarchici e di ereditarieta’ L’applicazione nel dominio windows e’ discrezionale (DACL) SCOPI DELLE GPO Gestire i criteri basati sul Registro di Sistema , generando files di impostazioni che interessano e sovrascrivono specifiche chiavi/valori nelle sezioni HKEY_CURRENT_USER e HKEY_LOCAL_MACHINE Assegnare scripts Reindirizzare cartelle (criteri di gruppo di dominio) Gestire applicazioni Specificare opzioni di protezione Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling GPO: modello locale di applicazione MODELLI AMMINISTRATIVI Realizzano un puntamento a chiavi del Registro di Configurazione Determinano un metodo di sovrascrittura delle chiavi/valori definite in zone speciali riservate alle GPO all’interno di HKLM e HKCU Environment Services Applications User Management Console (mmc.exe) GPO Template (local=gpedit.msc) get Admin. Templates (*.adm) PROCEDURE LOCALI Le impostazioni definite mediante Modelli Amm.vi sono salvate nei file registry.pol I criteri computer e utente interagiscono rispettivamente con file registry.pol distinti I file registry.pol contengono un elenco di chiavi/valori/dati associati alle impostazioni definite mediante Modelli Amm.vi Durante il boot e il login le impostazioni aggiornate in registry.pol sono trasferite nelle zone speciali rispettivamente in HKLM e HKCU GPO Pool (registry.pol) get pointing Boot/Login Agents override HKCU GPO ZONE HKLM GPO ZONE Windows Registry Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling GPO: impatto sul Win Registry HKLM Microsoft Software Windows CurrentVersion Policies GPO ZONE HKCU Microsoft Software Windows CurrentVersion Policies GPO ZONE %systemroot%\system32\GroupPolicy\Machine\Registry.pol %systemroot%\system32\GroupPolicy\User\Registry.pol Computer Admin. Templates (*.adm) User Admin. Templates (*.adm) Criteri Computer Criteri Utente CRITERI DI GUPPO LOCALI Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling GPO: sequenza degli eventi di elaborazione New GPO HKLM Avvio computer Avvio Servizi rete Elaborazione elenco ordinato aggiornato GPO computer Applicazione GPO computer Esecuzione script di avvio Prompt CTRL+ALT+CANC Local GPO New GPO Domain GPO HKCU Prompt CTRL+ALT+CANC Autent. Autoriz. Carica profilo utente Elaborazione elenco ordinato aggiornato GPO utente Applicazione GPO utente Esecuzione script di login HKCU Local GPO Roaming Dir Ntuser.dat Domain GPO Local Dir Local Dir Ntuser.dat Roaming Dir HKCU Eventi di avvio Eventi di login Eventi di logoff Salva profilo utente Prompt CTRL+ALT+CANC Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling GPO: priorita’ di esecuzione per le applicazioni avvio applicazione applicazione cerca in HKLM GPO ZONE HKLM\Software\Policies\ HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ dati trovati si ricerca interrotta no applicazione cerca in HKCU GPO ZONE HKCU\Software\Policies\ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ dati trovati si ricerca interrotta no applicazione cerca in HKLM fuori da GPO ZONE Applicazioni GPO compliant dati trovati si ricerca interrotta APPLICAZIONI GPO COMPLIANT Le impostazioni derivanti dalle GPO hanno precedenza su quelle standard di Registro Le impostazioni layer computer hanno precedenza rispetto a quelle utente no applicazione cerca in HKCU fuori da GPO ZONE Applicazioni per Windows NT4 dati trovati si ricerca interrotta no applicazione utilizza *.ini o impostazioni default Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Win Management & Profiling W - Domain GPO Processing Model SITE EREDITARIETA’ DEI CRITERI I criteri definiti nei contenitori padri sono trasmessi a tutti i subordinati per ereditarieta’, compresi gli oggetti computer ed utente I criteri non definiti non vengono ereditati Se un contenitore figlio definisce uno stesso criterio presente nel padre, la nuova impostazione ha precedenza Se non vi e’ conflitto di impostazione tra padre e figlio, il criterio e’ ereditato con l’impostazione definita nel figlio DOM. OU LOCAL GPO OBJ. Ordine di applicazione Verso di ereditarieta’ AD GPO Processing Model Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Riferimenti NT-Security http://www.microsoft.com/technet/prodtechnol/windowsserver2003/it/library/ServerHelp/fcbc82eb-f896-4be3-85d0-470ac172b50f.mspx Win Scripting http://msdn2.microsoft.com/en-us/library/ms950396.aspx GPO http://msdn.microsoft.com/library/default.asp?url=/library/en-us/gp/rsrc_gp.asp DCOM http://msdn2.microsoft.com/en-us/library/aa139672.aspx Active Directory http://www.microsoft.com/technet/prodtechnol/windowsserver2003/it/library/ServerHelp/a9d684f0-90b1-4c67-8dca-7ebf803a003d.mspx Nunzio AMANZI - LNF Computing Service - Nunzio.Amanzi@lnf.infn.it

Nunzio AMANZI Cordiali saluti Windows Systems Administrator INFN Windows Management Team INFN SisInfo Management Team LNF - INFN Computing Service

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.