Appendice B: Account con privilegi e gruppi in Active Directory
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Appendice B: Account con privilegi e gruppi in Active Directory
Gli account e i gruppi con privilegi in Active Directory sono quelli a cui vengono concessi diritti, privilegi e autorizzazioni avanzati che consentono di eseguire quasi qualsiasi azione in Active Directory e nei sistemi aggiunti a un dominio. Questa appendice inizia illustrando i diritti, i privilegi e le autorizzazioni, seguiti da informazioni sugli account e i gruppi con privilegi più elevati in Active Directory, ovvero gli account e i gruppi più potenti.
Le informazioni vengono fornite anche sugli account e i gruppi incorporati e predefiniti in Active Directory, oltre ai relativi diritti. Sebbene vengano forniti consigli di configurazione specifiche per la protezione degli account e dei gruppi con privilegi più elevati come appendici separate, questa appendice fornisce informazioni di base che consentono di identificare gli utenti e i gruppi da proteggere. È consigliabile farlo perché possono essere sfruttati da utenti malintenzionati per compromettere e persino distruggere l'installazione di Active Directory.
Diritti, privilegi e autorizzazioni in Active Directory
Le differenze tra diritti, autorizzazioni e privilegi possono essere confuse e contraddittorie, anche all'interno della documentazione di Microsoft. Questa sezione descrive alcune delle caratteristiche di ciascuno così come vengono utilizzate in questo documento. Queste descrizioni non devono essere considerate autorevoli per altre documentazioni Microsoft, perché potrebbero usare questi termini in modo diverso.
Diritti e privilegi
I diritti e i privilegi sono effettivamente le stesse funzionalità a livello di sistema concesse a entità di sicurezza come utenti, servizi, computer o gruppi. Nelle interfacce usate in genere dai professionisti IT, queste vengono in genere definite "diritti" o "diritti utente" e vengono spesso assegnate dagli oggetti Criteri di gruppo. Lo screenshot seguente mostra alcuni dei diritti utente più comuni che possono essere assegnati alle entità di sicurezza (rappresenta l'oggetto Criteri di gruppo Controller di dominio predefiniti in un dominio di Windows Server 2012). Alcuni di questi diritti si applicano ad Active Directory, ad esempio il diritto utente Abilitare l'attendibilità di account utente e computer per la delega, mentre altri diritti si applicano al sistema operativo Windows, ad esempio Modificare l'ora di sistema.
Nelle interfacce, ad esempio l'Editor oggetti Criteri di gruppo, tutte queste funzionalità assegnabili vengono definite in generale diritti utente. In realtà, tuttavia, alcuni diritti utente vengono definiti a livello di codice come diritti, mentre altri vengono definiti privilegi a livello di codice. Tabella B-1: Diritti utente e privilegi fornisce alcuni dei diritti utente assegnabili più comuni e le relative costanti a livello di codice. Anche se Criteri di gruppo e altre interfacce fanno riferimento a tutti questi come diritti utente, alcuni vengono identificati a livello di codice come diritti, mentre altri sono definiti come privilegi.
Per altre informazioni su ognuno dei diritti utente elencati nella tabella seguente, usare i collegamenti nella tabella oppure vedere Guida alle minacce e alle contromisure: diritti utente nella guida Prevenzione di minacce e vulnerabilità per Windows Server 2008 R2 nel sito Microsoft TechNet. Per informazioni applicabili a Windows Server 2008, vedere Diritti utente nella documentazione Prevenzione di minacce e vulnerabilità nel sito Microsoft TechNet. Al momento della stesura di questo documento, la documentazione corrispondente per Windows Server 2012 non è ancora stata pubblicata.
Nota
Ai fini di questo documento, i termini "diritti" e "diritti utente" vengono usati per identificare diritti e privilegi, a meno che non diversamente specificato.
Tabella B-1: Diritti utente e privilegi
Autorizzazioni
Le autorizzazioni sono controlli di accesso applicati a oggetti a protezione diretta, ad esempio il file system, il Registro di sistema, il servizio e gli oggetti Active Directory. A ogni oggetto a protezione diretta è associato un elenco di controllo di accesso (ACL), che contiene voci di controllo di accesso (ACL) che concedono o negano a entità di sicurezza (utenti, servizi, computer o gruppi) la possibilità di eseguire varie operazioni sull'oggetto. Ad esempio, gli ACL per molti oggetti in Active Directory contengono ACE che consentono agli utenti autenticati di leggere informazioni generali sugli oggetti, ma non concedere loro la possibilità di leggere informazioni riservate o di modificare gli oggetti. Ad eccezione dell'account guest predefinito di ogni dominio, ogni entità di sicurezza che accede e viene autenticata da un controller di dominio in una foresta Active Directory o in una foresta attendibile ha aggiunto il SID (l’identificatore di sicurezza degli utenti autenticati) al token di accesso per impostazione predefinita. Pertanto, indipendentemente dal fatto che un utente, un servizio o un account computer tenti di leggere le proprietà generali sugli oggetti utente in un dominio, l'operazione di lettura ha esito positivo.
Se un'entità di sicurezza tenta di accedere a un oggetto per cui non sono definite le voci ACE e che contengono un SID presente nel token di accesso dell'entità, l'entità non può accedere all'oggetto. Inoltre, se una voce ACE nell'ACL di un oggetto contiene una voce di negazione per un SID che corrisponde al token di accesso dell'utente, l'ACE "deny" in genere sostituirà un ACE "allow" in conflitto. Per altre informazioni sul controllo di accesso in Windows, vedere Controllo di accesso nel sito Web MSDN.
All'interno di questo documento, le autorizzazioni fanno riferimento alle funzionalità concesse o negate alle entità di sicurezza per gli oggetti a protezione diretta. Ogni volta che si verifica un conflitto tra un diritto utente e un'autorizzazione, il diritto utente ha in genere la precedenza. Ad esempio, se un oggetto in Active Directory è stato configurato con un elenco di controllo di accesso che nega agli amministratori l'accesso in lettura e scrittura a un oggetto, un utente membro del gruppo Administrators del dominio non potrà visualizzare molte informazioni sull'oggetto. Tuttavia, poiché al gruppo Administrators viene concesso il diritto utente "Acquisizione proprietà di file o di altri oggetti", l'utente può semplicemente assumere la proprietà dell'oggetto in questione, quindi riscrivere l'ACL dell'oggetto per concedere agli amministratori il controllo completo dell'oggetto.
Per questo motivo, questo documento incoraggia l'utente a evitare di usare account e gruppi potenti per l'amministrazione quotidiana, invece di tentare di limitare le funzionalità degli account e dei gruppi. Non è possibile impedire a un utente determinato che ha accesso a credenziali potenti di usare tali credenziali per ottenere l'accesso a qualsiasi risorsa a protezione diretta.
Account e gruppi con privilegi predefiniti
Active Directory è progettato per facilitare la delega dell'amministrazione e il principio dei privilegi minimi nell'assegnazione di diritti e autorizzazioni. Gli utenti "normali" che dispongono di account in un dominio di Active Directory sono, per impostazione predefinita, in grado di leggere gran parte di ciò che viene archiviato nella directory, ma possono modificare solo un set di dati molto limitato all’interno della directory. Agli utenti che richiedono privilegi aggiuntivi è possibile concedere l'appartenenza a vari gruppi con privilegi incorporati nella directory in modo che possano eseguire attività specifiche correlate ai propri ruoli, ma che non possano eseguire attività non rilevanti per i propri compiti.
In Active Directory sono presenti tre gruppi predefiniti che comprendono i gruppi con privilegi più elevati nella directory, più un quarto gruppo, che è il gruppo Schema Admins (SA):
Il gruppo Schema Admins (SA) dispone di privilegi che, se utilizzati in modo improprio, possono danneggiare o distruggere un'intera foresta di Active Directory, ma questo gruppo è più limitato nelle sue funzionalità rispetto ai gruppi EA, DA e BA.
Oltre a questi quattro gruppi, esistono diversi account e gruppi predefiniti aggiuntivi in Active Directory, ognuno dei quali concede diritti e autorizzazioni che consentono l'esecuzione di attività amministrative specifiche. Anche se questa appendice non fornisce una discussione approfondita di ogni gruppo incorporato o predefinito in Active Directory, fornisce una tabella dei gruppi e degli account che è più probabile visualizzare nelle installazioni.
Ad esempio, se si installa Microsoft Exchange Server in una foresta Active Directory, è possibile creare account e gruppi aggiuntivi nei contenitori Predefiniti e Utenti nei domini. Questa appendice descrive solo i gruppi e gli account creati nei contenitori Predefiniti e Utenti in Active Directory, in base a ruoli e funzionalità nativi. Gli account e i gruppi creati dall'installazione del software aziendale non sono inclusi.
Amministratori Enterprise
Il gruppo Enterprise Admins (EA) si trova nel dominio radice della foresta e, per impostazione predefinita, è membro del gruppo Administrators predefinito in ogni dominio della foresta. L'account Administrator incorporato nel dominio radice della foresta è l'unico membro predefinito del gruppo EA. Ai contratti enterprise vengono concessi diritti e autorizzazioni che consentono di influire sulle modifiche a livello di foresta. Si tratta di modifiche che influiscono su tutti i domini nella foresta, ad esempio l'aggiunta o la rimozione di domini, la creazione di trust tra foreste o l'aumento dei livelli di funzionalità della foresta. In un modello di delega progettato e implementato correttamente, l'appartenenza EA è necessaria solo quando si costruisce la foresta o quando si apportano determinate modifiche a livello di foresta, ad esempio la creazione di un trust tra foreste in uscita.
Il gruppo EA si trova per impostazione predefinita nel contenitore Utenti nel dominio radice della foresta ed è un gruppo di sicurezza universale, a meno che il dominio radice della foresta non sia in esecuzione in modalità mista Windows 2000 Server, nel qual caso il gruppo è un gruppo di sicurezza globale. Anche se alcuni diritti vengono concessi direttamente al gruppo EA, molti dei diritti di questo gruppo vengono effettivamente ereditati dal gruppo EA perché è membro del gruppo Administrators in ogni dominio della foresta. Gli amministratori dell'organizzazione non dispongono di diritti predefiniti per workstation o server membri.
Domain Admins
Ogni dominio in una foresta ha un proprio gruppo Domain Admins (DA), che è membro del gruppo predefinito Administrators (BA) di tale dominio, oltre a un membro del gruppo Administrators locale in ogni computer aggiunto al dominio. L'unico membro predefinito del gruppo DA per un dominio è l'account amministratore predefinito per tale dominio.
I DA sono "potenti" all'interno dei loro domini, mentre gli EA hanno privilegi a livello di foresta. In un modello di delega progettato e implementato correttamente, l'appartenenza a DA deve essere necessaria solo in scenari di "break glass", che sono situazioni in cui è necessario un account con elevati livelli di privilegio in ogni computer del dominio o quando è necessario apportare determinate modifiche a livello di dominio. Anche se i meccanismi di delega nativa di Active Directory consentono la delega nella misura in cui è possibile usare gli account DA solo in scenari di emergenza, la creazione di un modello di delega efficace può richiedere molto tempo e molte organizzazioni usano applicazioni di terze parti per accelerare il processo.
Il gruppo DA è un gruppo di sicurezza globale che si trova nel contenitore Utenti per il dominio. Esiste un gruppo DA per ogni dominio nella foresta e l'unico membro predefinito di un gruppo DA è l'account amministratore predefinito del dominio. Poiché il gruppo DA di un dominio è annidato nel gruppo BA del dominio e nel gruppo Administrators locale di ogni sistema aggiunto a un dominio, gli amministratori di dominio non dispongono solo delle autorizzazioni concesse specificamente agli amministratori di dominio, ma ereditano anche tutti i diritti e le autorizzazioni concesse al gruppo Administrators del dominio e al gruppo Administrators locale in tutti i sistemi aggiunti al dominio.
Amministratori
Il gruppo predefinito Administrators (BA) è un gruppo locale di dominio in un contenitore predefinito di un dominio in cui sono annidati DA e EA e questo gruppo concede molti diritti diretti e autorizzazioni nella directory e nei controller di dominio. Tuttavia, il gruppo Administrators per un dominio non dispone di privilegi sui server membri o sulle workstation. L'appartenenza al gruppo Administrators locale dei computer aggiunti a un dominio è la posizione in cui viene concesso il privilegio locale; e dei gruppi discussi, solo i DA sono membri di tutti i gruppi Administrators locali di tutti i computer aggiunti a un dominio per impostazione predefinita.
Il gruppo Administrators è un gruppo locale di dominio nel contenitore predefinito del dominio. Per impostazione predefinita, il gruppo BA di ogni dominio contiene l'account amministratore predefinito del dominio locale, il gruppo DA del dominio locale e il gruppo EA del dominio radice della foresta. Molti diritti utente in Active Directory e nei controller di dominio vengono concessi in modo specifico al gruppo Administrators, non ai gruppi EA o DA. Al gruppo BA di un dominio vengono concesse autorizzazioni di controllo completo per la maggior parte degli oggetti directory e può assumere la proprietà degli oggetti directory. Anche se ai gruppi EA e DA vengono concesse determinate autorizzazioni specifiche dell'oggetto nella foresta e nei domini, gran parte della potenza dei gruppi viene effettivamente "ereditata" dall'appartenenza ai gruppi BA.
Nota
Anche se si tratta delle configurazioni predefinite di questi gruppi con privilegi, un membro di uno dei tre gruppi può modificare la directory per ottenere l'appartenenza a uno qualsiasi degli altri gruppi. In alcuni casi è semplice, mentre in altri è più difficile, ma dal punto di vista del potenziale privilegio, tutti e tre i gruppi devono essere considerati effettivamente equivalenti.
Amministratori schema
Il gruppo Schema Admins (SA) è un gruppo universale nel dominio radice della foresta e ha solo l'account Amministratore predefinito del dominio come membro predefinito, simile al gruppo EA. Anche se l'appartenenza al gruppo SA può consentire a un utente malintenzionato di compromettere lo schema di Active Directory, che è il framework per l'intera foresta di Active Directory, le SA hanno pochi diritti predefiniti e autorizzazioni oltre lo schema.
È consigliabile gestire e monitorare attentamente l'appartenenza al gruppo SA, ma in alcuni casi questo gruppo è "meno privilegiato" rispetto ai tre gruppi con privilegi più elevati descritti in precedenza perché l'ambito del suo privilegio è molto stretto; ovvero, i contratti di servizio non dispongono di diritti amministrativi in nessun altro luogo che non sia lo schema.
Gruppi aggiuntivi incorporati e predefiniti in Active Directory
Per facilitare la delega dell'amministrazione nella directory, Active Directory viene fornito con vari gruppi incorporati e predefiniti a cui sono stati concessi diritti e autorizzazioni specifici. Questi gruppi sono descritti brevemente nella tabella seguente.
Nella tabella seguente sono elencati i gruppi incorporati e predefiniti in Active Directory. Entrambi i set di gruppi esistono per impostazione predefinita; tuttavia, i gruppi predefiniti si trovano (per impostazione predefinita) nel contenitore predefinito in Active Directory, mentre i gruppi predefiniti si trovano (per impostazione predefinita) nel contenitore Users in Active Directory. I gruppi nel contenitore predefinito sono tutti gruppi locali di dominio, mentre i gruppi nel contenitore Users sono una combinazione di gruppi Domain Local, Global e Universal, oltre a tre singoli account utente (Administrator, Guest e Krbtgt).
Oltre ai gruppi con privilegi più elevati descritti in precedenza in questa appendice, ad alcuni account e gruppi incorporati e predefiniti vengono concessi privilegi elevati e devono essere protetti e usati solo in host amministrativi sicuri. Questi gruppi e account sono disponibili nelle righe ombreggiate della tabella B-1: Gruppi e Account incorporati e predefiniti in Active Directory. Poiché ad alcuni di questi gruppi e account vengono concessi diritti e autorizzazioni che possono essere usati in modo improprio per compromettere Active Directory o controller di dominio, ad essi vengono concesse delle protezioni aggiuntive come descritto nell'Appendice C: Account protetti e gruppi in Active Directory.
Tabella B-1: account e gruppi integrati e predefiniti in Active Directory
| Account o gruppo | Contenitore predefinito, ambito gruppo e tipo | Descrizione e diritti utente predefiniti |
|---|---|---|
| Operatori di assistenza per il controllo di accesso (Active Directory in Windows Server 2012) | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono eseguire query in remoto sugli attributi di autorizzazione e sulle autorizzazioni per le risorse in questo computer. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Account Operators | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri possono amministrare account utente e gruppo di dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Account amministratore | Contenitore utenti Non un gruppo |
Account predefinito per l'amministrazione del dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Regolazione limite risorse memoria per un processo Consenti accesso locale Consenti accesso tramite Servizi Desktop remoto Backup di file e directory Ignorare controllo incrociato Modificare l'ora di sistema Modificare il fuso orario Creazione di file di paging Creazione oggetti globali Creazione di collegamenti simbolici Debug di programmi Impostazione account computer ed utente a tipo trusted per la delega Arresto forzato da un sistema remoto Rappresenta un client dopo l'autenticazione Aumentare un working set di processi Aumentare la priorità di pianificazione Caricamento/rimozione di driver di dispositivo Accesso come processo batch Gestione file registro di controllo e di sicurezza Modifica dei valori di ambiente firmware Eseguire attività di manutenzione del volume Creare il profilo del singolo processo Creare il profilo delle prestazioni del sistema Rimozione del computer dall'alloggiamento Ripristino di file e directory Arresto del sistema Acquisire la proprietà di file o di altri oggetti |
| Gruppo Administrators | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Gli amministratori hanno accesso completo e senza restrizioni al dominio. Diritti utente diretti: Accedi al computer dalla rete Regolazione limite risorse memoria per un processo Consenti accesso locale Consenti accesso tramite Servizi Desktop remoto Backup di file e directory Ignorare controllo incrociato Modificare l'ora di sistema Modificare il fuso orario Creazione di file di paging Creazione oggetti globali Creazione di collegamenti simbolici Debug di programmi Impostazione account computer ed utente a tipo trusted per la delega Arresto forzato da un sistema remoto Rappresentare un client dopo l'autenticazione Aumento della priorità di pianificazione Caricamento/rimozione di driver di dispositivo Accesso come processo batch Gestione file registro di controllo e di sicurezza Modifica dei valori di ambiente firmware Eseguire attività di manutenzione del volume Creare il profilo del singolo processo Creare il profilo delle prestazioni del sistema Rimozione del computer dall'alloggiamento Ripristino di file e directory Arresto del sistema Acquisire la proprietà di file o di altri oggetti Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Gruppo di replica password di controller di dominio di sola lettura consentito | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono avere le password replicate in tutti i controller di dominio di sola lettura nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Backup Operators | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Gli operatori di backup possono ignorare le restrizioni di sicurezza solo allo scopo di eseguire il backup o il ripristino dei file. Diritti utente diretti: Consenti accesso locale Backup di file e directory Accesso come processo batch Ripristino di file e directory Arresto del sistema Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Cert Publishers | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono pubblicare i certificati nella directory. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Accesso DCOM al servizio certificati | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Se Servizi certificati è installato in un controller di dominio (non consigliato), questo gruppo concede l'accesso alla registrazione DCOM a Utenti di dominio e computer di dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Controller di dominio clonabili (Servizi di dominio Active Directory in Windows Server 2012AD DS) | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
I membri di questo gruppo che sono controller di dominio possono essere clonati. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Operazioni di crittografia | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri sono autorizzati a eseguire operazioni di crittografia. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Utenti del debugger | Non si tratta né di un gruppo predefinito né di un gruppo integrato, ma, quando presente in Active Directory Domain Services, è causa di ulteriori indagini. | La presenza di un gruppo Users debugger indica che gli strumenti di debug sono stati installati nel sistema a un certo punto, sia tramite Visual Studio, SQL, Office o altre applicazioni che richiedono e supportano un ambiente di debug. Questo gruppo consente l'accesso al debug remoto ai computer. Quando questo gruppo esiste a livello di dominio, indica che un debugger o un'applicazione che contiene un debugger è stato installato in un controller di dominio. |
| Gruppo di replica password di controller di dominio di sola lettura negato | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo non possono avere le password replicate in tutti i controller di dominio di sola lettura nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| DHCP Administrators | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo dispongono di accesso amministrativo al servizio Server DNS. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Utenti DHCP | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo dispongono di accesso in lettura al servizio Server DHCP. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Distributed COM Users | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono avviare, attivare e usare oggetti COM distribuiti in questo computer. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| DnsAdmins | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo dispongono di accesso amministrativo al servizio Server DNS. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| DnsUpdateProxy | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
I membri di questo gruppo sono client DNS autorizzati a eseguire aggiornamenti dinamici per conto dei client che non possono eseguire aggiornamenti dinamici. I membri di questo gruppo sono in genere server DHCP. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Domain Admins | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
Amministratori designati del dominio; Domain Admins è membro del gruppo Administrators locale di ogni computer aggiunto al dominio e riceve diritti e autorizzazioni concessi al gruppo Administrators locale, oltre al gruppo Administrators del dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Regolazione limite risorse memoria per un processo Consenti accesso locale Consenti accesso tramite Servizi Desktop remoto Backup di file e directory Ignorare controllo incrociato Modificare l'ora di sistema Modificare il fuso orario Creazione di file di paging Creazione oggetti globali Creazione di collegamenti simbolici Debug di programmi Impostazione account computer ed utente a tipo trusted per la delega Arresto forzato da un sistema remoto Rappresenta un client dopo l'autenticazione Aumentare un working set di processi Aumentare la priorità di pianificazione Caricamento/rimozione di driver di dispositivo Accesso come processo batch Gestione file registro di controllo e di sicurezza Modifica dei valori di ambiente firmware Eseguire attività di manutenzione del volume Creare il profilo del singolo processo Creare il profilo delle prestazioni del sistema Rimozione del computer dall'alloggiamento Ripristino di file e directory Arresto del sistema Acquisire la proprietà di file o di altri oggetti |
| Computer del dominio | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
Tutte le workstation e i server aggiunti al dominio sono per impostazione predefinita membri di questo gruppo. Diritti utente diretti predefiniti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Controller di dominio | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
Tutti i controller di dominio nel dominio. Nota: i controller di dominio non sono membri del gruppo Domain Computers. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Domain Guests | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
Tutti gli utenti guest nel dominio Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Domain Users | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
Tutti gli utenti nel dominio Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Enterprise Admins (esiste solo nel dominio radice della foresta) | Contenitore utenti Gruppo di sicurezza universale |
Gli amministratori dell'organizzazione dispongono delle autorizzazioni per modificare le impostazioni di configurazione a livello di foresta; Enterprise Admins è membro del gruppo Administrators di ogni dominio e riceve diritti e autorizzazioni concessi a tale gruppo. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Regolazione limite risorse memoria per un processo Consenti accesso locale Consenti accesso tramite Servizi Desktop remoto Backup di file e directory Ignorare controllo incrociato Modificare l'ora di sistema Modificare il fuso orario Creazione di file di paging Creazione oggetti globali Creazione di collegamenti simbolici Debug di programmi Impostazione account computer ed utente a tipo trusted per la delega Arresto forzato da un sistema remoto Rappresenta un client dopo l'autenticazione Aumentare un working set di processi Aumentare la priorità di pianificazione Caricamento/rimozione di driver di dispositivo Accesso come processo batch Gestione file registro di controllo e di sicurezza Modifica dei valori di ambiente firmware Eseguire attività di manutenzione del volume Creare il profilo del singolo processo Creare il profilo delle prestazioni del sistema Rimozione del computer dall'alloggiamento Ripristino di file e directory Arresto del sistema Acquisire la proprietà di file o di altri oggetti |
| Controller di dominio di sola lettura organizzazione | Contenitore utenti Gruppo di sicurezza universale |
Questo gruppo contiene gli account per tutti i controller di dominio di sola lettura nella foresta. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Event Log Readers | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono leggere i registri eventi nei controller di dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Proprietari autori criteri di gruppo | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
I membri di questo gruppo possono creare e modificare oggetti Criteri di gruppo nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Ospite | Contenitore utenti Non un gruppo |
Si tratta dell'unico account in un dominio di Active Directory Domain Services che non dispone del SID Utenti autenticati aggiunto al token di accesso. Pertanto, tutte le risorse configurate per concedere l'accesso al gruppo Users autenticati non saranno accessibili a questo account. Questo comportamento non è vero per i membri dei gruppi Domain Guest e Guest, ma i membri di tali gruppi hanno il SID Utenti autenticati aggiunto ai token di accesso. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Ignorare controllo incrociato Aumento di un working set di processo |
| Utenti guest | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Gli utenti guest hanno lo stesso accesso ai membri del gruppo Users per impostazione predefinita, ad eccezione dell'account Guest, che è ulteriormente limitato come descritto in precedenza. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Amministratori di Hyper-V (Windows Server 2012) | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo hanno accesso completo e senza restrizioni a tutte le funzionalità di Hyper-V. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| IIS_IUSRS | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Gruppo predefinito utilizzato da Internet Information Services. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Generatori di trust tra foreste in ingresso (esistono solo nel dominio radice della foresta) | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono creare trust unidirezionali in ingresso per questa foresta. (La creazione di trust tra foreste in uscita è riservata agli amministratori dell'organizzazione) Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Krbtgt | Contenitore utenti Non un gruppo |
L'account Krbtgt è l'account del servizio per il Centro distribuzione chiavi Kerberos nel dominio. Questo account ha accesso alle credenziali di tutti gli account archiviati in Active Directory. Questo account è disabilitato per impostazione predefinita e non deve mai essere abilitato Diritti utente: N/A |
| Network Configuration Operators | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Ai membri di questo gruppo vengono concessi privilegi che consentono di gestire la configurazione delle funzionalità di rete. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Performance Log Users | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono pianificare la registrazione dei contatori delle prestazioni, abilitare i provider di traccia e raccogliere le tracce degli eventi in locale e tramite accesso remoto al computer. Diritti utente diretti: Accesso come processo batch Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Performance Monitor Users | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono accedere ai dati dei contatori delle prestazioni in locale e in remoto. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Accesso compatibile precedente a Windows 2000 | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Questo gruppo esiste per garantire la compatibilità con le versioni precedenti ai sistemi operativi precedenti a Windows 2000 Server e consente ai membri di leggere le informazioni sull'utente e sul gruppo nel dominio. Diritti utente diretti: Accedi al computer dalla rete Ignorare controllo incrociato Diritti utente ereditati: Aggiunta di workstation al dominio Aumento di un working set di processo |
| Print Operators | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono amministrare le stampanti di dominio. Diritti utente diretti: Consenti accesso locale Caricamento/rimozione di driver di dispositivo Arresto del sistema Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Server RAS e IAS | Contenitore utenti Gruppo di sicurezza locale del dominio |
I server in questo gruppo possono leggere le proprietà di accesso remoto negli account utente nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Server endpoint Servizi Desktop remoto (Windows Server 2012) | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I server in questo gruppo eseguono macchine virtuali e ospitano sessioni in cui vengono eseguiti i programmi RemoteApp e i desktop virtuali personali. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Host sessione Desktop remoto e i server Host di virtualizzazione Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Server di gestione Servizi Desktop remoto (Windows Server 2012) | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I server in questo gruppo possono eseguire azioni amministrative di routine sui server che eseguono Servizi Desktop remoto. Questo gruppo deve essere popolato in tutti i server in una distribuzione di Servizi Desktop remoto. I server che eseguono il servizio Gestione centrale Servizi Desktop remoto devono essere inclusi in questo gruppo. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Server Accesso remoto Servizi Desktop remoto (Windows Server 2012) | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I server in questo gruppo consentono agli utenti di programmi RemoteApp e desktop virtuali personali di accedere a queste risorse. Nelle distribuzioni con connessione Internet, questi server vengono in genere distribuiti in una rete perimetrale. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Gateway Desktop remoto e i server Accesso Web Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Controller di dominio di sola lettura | Contenitore utenti Aggiungere un gruppo di sicurezza globale |
Questo gruppo contiene tutti i controller di domino nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Utenti desktop remoto | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Ai membri di questo gruppo viene concesso il diritto di accedere in modalità remota tramite RDP. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Utenti di gestione remota (Windows Server 2012) | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono accedere alle risorse di Strumentazione gestione Windows (WMI) sui protocolli di gestione (ad esempio WS-Management tramite il servizio Gestione remota Windows). Questo vale solo per gli spazi dei nomi WMI che concedono l'accesso all'utente. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Replicator | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Supporta la replica di file legacy in un dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Schema Admins (esiste solo nel dominio radice della foresta) | Contenitore utenti Gruppo di sicurezza universale |
Gli amministratori dello schema sono gli unici utenti che possono apportare modifiche allo schema di Active Directory, e solo se lo schema è abilitato per la scrittura. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Server Operators | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono amministrare i controller di dominio. Diritti utente diretti: Consenti accesso locale Backup di file e directory Modifica dell'orario di sistema Modifica del fuso orario Arresto forzato da un sistema remoto Ripristino di file e directory Arresto del sistema Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Server licenze Terminal Server | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono aggiornare gli account utente in Active Directory con informazioni sul rilascio delle licenze, allo scopo di tenere traccia e segnalare l'utilizzo di TS per utente CAL Diritti utente diretti predefiniti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| Utenti | Contenitore predefinito Gruppo di sicurezza locale del dominio |
Gli utenti dispongono delle autorizzazioni che consentono di leggere molti oggetti e attributi in Active Directory, anche se non possono modificarne la maggior parte. Gli utenti non possono apportare modifiche accidentali o intenzionali a livello di sistema e possono eseguire la maggior parte delle applicazioni. Diritti utente diretti: Aumento di un working set di processo Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato |
| Gruppo di accesso autorizzazione Windows | Contenitore predefinito Gruppo di sicurezza locale del dominio |
I membri di questo gruppo hanno accesso all'attributo tokenGroupsGlobalAndUniversal calcolato negli oggetti User Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono accedere alle risorse di Strumentazione gestione Windows (WMI) sui protocolli di gestione (ad esempio WS-Management tramite il servizio Gestione remota Windows). Questo vale solo per gli spazi dei nomi WMI che concedono l'accesso all'utente. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un working set di processo |