In questa paginaObiettiviIl modulo consente di: | • | Configurare un account utente a supporto della delega. | | • | Configurare l'account utilizzato per eseguire un processo server a supporto della delega. |
Ambito di applicazione| • | Windows 2000 Server con Service Pack 3 e sistemi operativi successivi | | • | Servizio directory Microsoft Active Directory® |
Utilizzo del moduloPer trarre il massimo vantaggio dal modulo: | • | È necessario disporre di un dominio Windows che utilizza Active Directory. | | • | È necessario aver acquisito esperienza nell'amministrazione di Active Directory mediante gli strumenti amministrativi di Windows. | | • | Leggere il modulo 3 "Autenticazione e autorizzazione", in cui viene trattato il trasferimento delle identità e introdotto il concetto di delega in riferimento alle applicazioni Web distribuite. |
RiepilogoPer impostazione predefinita, il sistema operativo Microsoft® Windows® 2000 utilizza il protocollo Kerberos per l'autenticazione. In questo modulo viene descritto come configurare la delega Kerberos, una funzionalità potente che consente a un server, quando rappresenta un client, di accedere a risorse remote per conto del client. Conoscenze necessarieLa delega è una funzionalità estremamente potente e in Windows 2000 non prevede vincoli. Pertanto è consigliabile utilizzarla con cautela. Per prevenire l'utilizzo improprio di questa funzionalità, è opportuno che l'accesso ai computer configurati per supportare la delega sia controllato. Windows .NET Server supporterà una funzionalità di delega con vincoli. Quando un server rappresenta un client, l'autenticazione Kerberos genera un token a livello di delega utilizzato in risposta alle richieste di autenticazione provenienti da computer remoti, a condizione che vengano soddisfatte le seguenti condizioni: 1. | L'account del client rappresentato non viene contrassegnato come sensibile e non può essere delegato in Active Directory. | 2. | L'account del processo del server (l'account utente con il quale si sta eseguendo il processo del server oppure l'account del computer, se il processo è in esecuzione con l'account di sistema locale) viene contrassegnato come trusted per la delega in Active Directory. |
Note| • | Per eseguire correttamente la delega Kerberos, è necessario che tutti i computer (client e server) appartengano a un singolo insieme di strutture Active Directory. | | • | Se la rappresentazione viene eseguita all'interno di componenti serviti e si desidera trasmettere il contesto dei chiamanti attraverso un'applicazione di Enterprise Services, nel server di applicazioni che ospita Enterprise Services deve essere disponibile Hotfix Rollup 18.1 o versione successiva.
Per ulteriori informazioni, vedere INFO: Availability of Windows 2000 Post-Service Pack 2 COM+ Hotfix Rollup Package 18.1 (in inglese). |
Verifica della configurazione dell'account del client per la delegaQuesta procedura consente di verificare che l'account del client possa essere delegato. | • | Per verificare che l'account del client sia configurato per la delega 1. | Accedere al controller di dominio utilizzando un account di amministratore. | 2. | Sulla barra delle applicazioni scegliere Start, Programmi, Strumenti di amministrazione, quindi Utenti e computer di Active Directory. | 3. | Nel proprio dominio fare clic sulla cartella Utenti. | 4. | Fare clic con il pulsante destro del mouse sull'account utente da delegare, quindi scegliere Proprietà. | 5. | Fare clic sulla scheda Account. | 6. | Nell'elenco Opzioni account verificare che l'opzione L'account è sensibile e non può essere delegato non sia selezionata. | 7. | Scegliere OK per chiudere la finestra di dialogo Proprietà. |
|
Verifica dell'account del processo del server per controllare se è trusted per la delegaQuesta procedura consente di verificare che l'account utilizzato per eseguire il processo del server, ovvero il processo che esegue la rappresentazione, possa delegare gli account del client. È necessario configurare l'account utente con il quale viene eseguito il processo del server oppure, se il processo viene eseguito con l'account di sistema locale, occorre configurare l'account del computer. Utilizzare la procedura appropriata tra quelle riportate di seguito, a seconda che il processo del server venga eseguito con un account di Windows o con un account di sistema locale. | • | Per verificare che l'account del processo del server sia trusted per la delega se il processo del server viene eseguito con un account utente di Windows 1. | Nella cartella Utenti all'interno di Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'account utente utilizzato per eseguire il processo del server che rappresenterà il client, quindi scegliere Proprietà. | 2. | Fare clic sulla scheda Account. | 3. | Nell'elenco Opzioni account fare clic su L'account è trusted per la delega. |
|
| • | Per verificare che l'account del processo del server sia trusted per la delega se il processo del server viene eseguito con l'account SYSTEM locale 1. | Fare clic con il pulsante destro del mouse sulla cartella Computer all'interno di Utenti e computer di Active Directory, quindi scegliere Proprietà. | 2. | Fare clic con il pulsante destro del mouse sul computer server in cui verrà eseguito il processo che rappresenta il client, quindi scegliere Proprietà. | 3. | Nella pagina Generale fare clic su Considera attendibile il computer per la delega. |
|
Altre risorse
| |
