Appendice B: Account con privilegi e gruppi in Active Directory

Account o gruppo Contenitore, ambito del gruppo e tipo predefiniti Descrizione e diritti utente predefiniti
Access Control Assistance Operators (Active Directory in Windows Server 2012) Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono eseguire query in remoto sugli attributi di autorizzazione e sulle autorizzazioni per le risorse nel computer.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Account Operators Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri possono amministrare gli account utente e di gruppo di dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Account amministratore Contenitore utenti

Non un gruppo

Account predefinito per l'amministrazione del dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Regolazione limite risorse memoria per un processo

Consenti accesso locale

Consenti accesso tramite Servizi Desktop remoto

Ripristino di file e directory

Ignorare controllo incrociato

Modifica dell'orario di sistema

Modifica del fuso orario

Creazione di file di paging

Creazione oggetti globali

Creazione di collegamenti simbolici

Debug di programmi

Impostazione account computer ed utente a tipo trusted per la delega

Arresto forzato da un sistema remoto

Rappresenta un client dopo l'autenticazione

Aumento di un working set di processo

Aumento della priorità di pianificazione

Caricamento/rimozione di driver di dispositivo

Accesso come processo batch

Gestione registro di controllo e di protezione

Modifica dei valori di ambiente firmware

Esecuzione operazioni di manutenzione volume

Creazione di profilo del singolo processo

Creazione di profilo delle prestazioni del sistema

Rimozione del computer dall'alloggiamento

Ripristino di file e directory

Arresto del sistema

Acquisizione proprietà di file o di altri oggetti

Gruppo Administrators Contenitore predefinito

Gruppo di sicurezza locale di dominio

Gli amministratori hanno accesso completo e senza restrizioni al dominio.

Diritti utente diretti:

Accesso al computer dalla rete

Regolazione limite risorse memoria per un processo

Consenti accesso locale

Consenti accesso tramite Servizi Desktop remoto

Ripristino di file e directory

Ignorare controllo incrociato

Modifica dell'orario di sistema

Modifica del fuso orario

Creazione di file di paging

Creazione oggetti globali

Creazione di collegamenti simbolici

Debug di programmi

Impostazione account computer ed utente a tipo trusted per la delega

Arresto forzato da un sistema remoto

Rappresenta un client dopo l'autenticazione

Aumento della priorità di pianificazione

Caricamento/rimozione di driver di dispositivo

Accesso come processo batch

Gestione registro di controllo e di protezione

Modifica dei valori di ambiente firmware

Esecuzione operazioni di manutenzione volume

Creazione di profilo del singolo processo

Creazione di profilo delle prestazioni del sistema

Rimozione del computer dall'alloggiamento

Ripristino di file e directory

Arresto del sistema

Acquisizione proprietà di file o di altri oggetti

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Gruppo di replica delle password del controller di dominio di sola lettura consentito Contenitore utenti

Gruppo di sicurezza locale di dominio

Le password dei membri di questo gruppo possono essere replicate in tutti i controller di dominio di sola lettura nel dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Backup Operators Contenitore predefinito

Gruppo di sicurezza locale di dominio

Gli operatori di backup possono eseguire l'override delle restrizioni di sicurezza al solo scopo di eseguire il backup o il ripristino dei file.

Diritti utente diretti:

Consenti accesso locale

Ripristino di file e directory

Accesso come processo batch

Ripristino di file e directory

Arresto del sistema

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Cert Publishers Contenitore utenti

Gruppo di sicurezza locale di dominio

Ai membri di questo gruppo è consentito pubblicare certificati nella directory.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Accesso DCOM al servizio certificati Contenitore predefinito

Gruppo di sicurezza locale di dominio

Se Servizi certificati è installato in un controller di dominio (scelta non consigliata), questo gruppo concede alla registrazione DCOM l'accesso a Utenti di dominio e Computer di dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Controller di dominio clonabili (Ad DS in Windows Server 2012AD DS) Contenitore utenti

Gruppo di sicurezza globale

I membri di questo gruppo che sono controller di dominio possono essere clonati.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Operazioni di crittografia Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri sono autorizzati a eseguire operazioni di crittografia.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Utenti del debugger Non si tratta né di un gruppo predefinito né di un gruppo predefinito, ma, se presente in Servizi di dominio Active Directory, è motivo di ulteriori indagini. La presenza di un gruppo Utenti debugger indica che gli strumenti di debug sono stati installati nel sistema a un certo punto, tramite Visual Studio, SQL, Office o altre applicazioni che richiedono e supportano un ambiente di debug. Questo gruppo consente l'accesso al debug remoto ai computer. Quando questo gruppo esiste a livello di dominio, indica che un debugger o un'applicazione che contiene un debugger è stato installato in un controller di dominio.
Gruppo di replica password del controller di dominio di sola lettura negato Contenitore utenti

Gruppo di sicurezza locale di dominio

Le password dei membri di questo gruppo non possono essere replicate in alcun controller di dominio di sola lettura nel dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Amministratori DHCP Contenitore utenti

Gruppo di sicurezza locale di dominio

I membri di questo gruppo hanno accesso amministrativo al servizio Server DHCP.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Utenti DHCP Contenitore utenti

Gruppo di sicurezza locale di dominio

I membri di questo gruppo hanno accesso di sola visualizzazione al servizio Server DHCP.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Utenti DCOM Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono avviare, attivare e utilizzare oggetti COM distribuiti nel computer.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Dnsadmins Contenitore utenti

Gruppo di sicurezza locale di dominio

I membri di questo gruppo dispongono di accesso amministrativo al servizio Server DNS.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Dnsupdateproxy Contenitore utenti

Gruppo di sicurezza globale

I membri di questo gruppo sono client DNS a cui è consentito eseguire aggiornamenti dinamici per conto dei client che a loro volta non possono eseguire aggiornamenti dinamici. I membri di questo gruppo sono in genere server DHCP.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Domain Admins Contenitore utenti

Gruppo di sicurezza globale

Amministratori designati del dominio; Domain Admins è membro del gruppo Administrators locale di ogni computer aggiunto al dominio e riceve diritti e autorizzazioni concessi al gruppo Administrators locale, oltre al gruppo Administrators del dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Regolazione limite risorse memoria per un processo

Consenti accesso locale

Consenti accesso tramite Servizi Desktop remoto

Ripristino di file e directory

Ignorare controllo incrociato

Modifica dell'orario di sistema

Modifica del fuso orario

Creazione di file di paging

Creazione oggetti globali

Creazione di collegamenti simbolici

Debug di programmi

Impostazione account computer ed utente a tipo trusted per la delega

Arresto forzato da un sistema remoto

Rappresenta un client dopo l'autenticazione

Aumento di un working set di processo

Aumento della priorità di pianificazione

Caricamento/rimozione di driver di dispositivo

Accesso come processo batch

Gestione registro di controllo e di protezione

Modifica dei valori di ambiente firmware

Esecuzione operazioni di manutenzione volume

Creazione di profilo del singolo processo

Creazione di profilo delle prestazioni del sistema

Rimozione del computer dall'alloggiamento

Ripristino di file e directory

Arresto del sistema

Acquisizione proprietà di file o di altri oggetti

Computer del dominio Contenitore utenti

Gruppo di sicurezza globale

Per impostazione predefinita, tutte le workstation e i server aggiunti al dominio sono membri di questo gruppo.

Diritti utente diretti predefiniti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Controller di dominio Contenitore utenti

Gruppo di sicurezza globale

Tutti i controller di dominio nel dominio. Nota: i controller di dominio non sono membri del gruppo Computer di dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Domain Guests Contenitore utenti

Gruppo di sicurezza globale

Tutti i guest nel dominio

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Domain Users Contenitore utenti

Gruppo di sicurezza globale

Tutti gli utenti nel dominio

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Enterprise Admins (esiste solo nel dominio radice della foresta) Contenitore utenti

Gruppo di sicurezza universale

Enterprise amministratori hanno le autorizzazioni per modificare le impostazioni di configurazione a livello di foresta. Enterprise Admins è membro del gruppo Administrators di ogni dominio e riceve diritti e autorizzazioni concessi a tale gruppo.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Regolazione limite risorse memoria per un processo

Consenti accesso locale

Consenti accesso tramite Servizi Desktop remoto

Ripristino di file e directory

Ignorare controllo incrociato

Modifica dell'orario di sistema

Modifica del fuso orario

Creazione di file di paging

Creazione oggetti globali

Creazione di collegamenti simbolici

Debug di programmi

Impostazione account computer ed utente a tipo trusted per la delega

Arresto forzato da un sistema remoto

Rappresenta un client dopo l'autenticazione

Aumento di un working set di processo

Aumento della priorità di pianificazione

Caricamento/rimozione di driver di dispositivo

Accesso come processo batch

Gestione registro di controllo e di protezione

Modifica dei valori di ambiente firmware

Esecuzione operazioni di manutenzione volume

Creazione di profilo del singolo processo

Creazione di profilo delle prestazioni del sistema

Rimozione del computer dall'alloggiamento

Ripristino di file e directory

Arresto del sistema

Acquisizione proprietà di file o di altri oggetti

Controller di dominio di sola lettura aziendali Contenitore utenti

Gruppo di sicurezza universale

Questo gruppo contiene gli account per tutti i controller di dominio di sola lettura nella foresta.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Lettori registri eventi Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo in possono leggere i log eventi nei controller di dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Proprietari autori criteri di gruppo Contenitore utenti

Gruppo di sicurezza globale

I membri di questo gruppo possono creare e modificare Criteri di gruppo oggetti nel dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Guest Contenitore utenti

Non è un gruppo

Si tratta dell'unico account in un dominio di Servizi di dominio Active Directory a cui non è stato aggiunto il SID Authenticated Users al relativo token di accesso. Pertanto, tutte le risorse configurate per concedere l'accesso al gruppo Authenticated Users non saranno accessibili a questo account. Questo comportamento non è vero per i membri dei gruppi Domain Guests e Guests, ma i membri di tali gruppi hanno il SID Authenticated Users aggiunto ai token di accesso.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Ignorare controllo incrociato

Aumento di un working set di processo

Guests Contenitore predefinito

Gruppo di sicurezza locale di dominio

I guest hanno lo stesso accesso dei membri del gruppo Users per impostazione predefinita, ad eccezione dell'account Guest, che è ulteriormente limitato come descritto in precedenza.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Amministratori di Hyper-V (Windows Server 2012) Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo hanno accesso completo e senza restrizioni a tutte le funzionalità di Hyper-V.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

IIS_IUSRS Contenitore predefinito

Gruppo di sicurezza locale di dominio

Gruppo predefinito usato da Internet Information Services.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Generatori di trust tra foreste in ingresso (esiste solo nel dominio radice della foresta) Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono creare trust unidirezionale in ingresso in questa foresta. La creazione di trust tra foreste in uscita è riservata Enterprise amministratori.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Krbtgt Contenitore utenti

Non un gruppo

L'account Krbtgt è l'account del servizio per l'Centro distribuzione chiavi Kerberos nel dominio. Questo account ha accesso alle credenziali di tutti gli account archiviate in Active Directory. Questo account è disabilitato per impostazione predefinita e non deve mai essere abilitato

Diritti utente: N/D

Network Configuration Operators Contenitore predefinito

Gruppo di sicurezza locale di dominio

Ai membri di questo gruppo vengono concessi privilegi che consentono di gestire la configurazione delle funzionalità di rete.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Performance Log Users Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono pianificare la registrazione dei contatori delle prestazioni, abilitare i provider di traccia e raccogliere tracce degli eventi in locale e tramite l'accesso remoto al computer.

Diritti utente diretti:

Accesso come processo batch

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Performance Monitor Users Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono accedere ai dati dei contatori delle prestazioni in locale e in remoto.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Accesso compatibile precedente a Windows 2000 Contenitore predefinito

Gruppo di sicurezza locale di dominio

Questo gruppo è disponibile per la compatibilità con le versioni precedenti ai sistemi operativi precedenti Windows 2000 Server e consente ai membri di leggere le informazioni su utenti e gruppi nel dominio.

Diritti utente diretti:

Accesso al computer dalla rete

Ignorare controllo incrociato

Diritti utente ereditati:

Aggiunta di workstation al dominio

Aumento di un working set di processo

Print Operators Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono amministrare stampanti di dominio.

Diritti utente diretti:

Consenti accesso locale

Caricamento/rimozione di driver di dispositivo

Arresto del sistema

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Server RAS e IAS Contenitore utenti

Gruppo di sicurezza locale di dominio

I server in questo gruppo possono leggere le proprietà di accesso remoto negli account utente nel dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Server endpoint Servizi Desktop remoto (Windows Server 2012) Contenitore predefinito

Gruppo di sicurezza locale di dominio

I server di questo gruppo eseguono macchine virtuali e ospitano sessioni in cui gli utenti eseguono programmi RemoteApp e desktop virtuali personali. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Host sessione Desktop remoto e i server Host di virtualizzazione Desktop remoto usati nella distribuzione devono essere in questo gruppo.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Server di gestione Servizi Desktop remoto (Windows Server 2012) Contenitore predefinito

Gruppo di sicurezza locale di dominio

I server in questo gruppo possono eseguire azioni amministrative di routine nei server che eseguono Servizi Desktop remoto. Questo gruppo deve essere popolato in tutti i server in una Servizi Desktop remoto distribuzione. I server che eseguono il servizio Gestione centrale Servizi Desktop remoto devono essere inclusi in questo gruppo.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Server di accesso remoto di Servizi Desktop remoto (Windows Server 2012) Contenitore predefinito

Gruppo di sicurezza locale di dominio

I server in questo gruppo consentono agli utenti di programmi RemoteApp e desktop virtuali personali di accedere a queste risorse. Nelle distribuzioni con connessione Internet questi server vengono in genere distribuiti in una rete perimetrale. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Gateway Desktop remoto e i Accesso Web desktop remoto usati nella distribuzione devono essere in questo gruppo.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Controller di dominio di sola lettura Contenitore utenti

Gruppo di sicurezza globale

Questo gruppo contiene tutti i controller di dominio di sola lettura nel dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Utenti desktop remoto Contenitore predefinito

Gruppo di sicurezza locale di dominio

Ai membri di questo gruppo viene concesso il diritto di accedere in remoto tramite RDP.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Utenti di gestione remota (Windows Server 2012) Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono accedere alle risorse WMI tramite protocolli di gestione, ad esempio WS-Management tramite il Windows di gestione remota. Si applica solo agli spazi dei nomi WMI che concedono l'accesso all'utente.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Replicator Contenitore predefinito

Gruppo di sicurezza locale di dominio

Supporta la replica di file legacy in un dominio.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Amministratori dello schema (esiste solo nel dominio radice della foresta) Contenitore utenti

Gruppo di sicurezza universale

Gli amministratori dello schema sono gli unici utenti che possono apportare modifiche allo schema di Active Directory e solo se lo schema è abilitato per la scrittura.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Server Operators Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono amministrare i server di dominio.

Diritti utente diretti:

Consenti accesso locale

Ripristino di file e directory

Modifica dell'orario di sistema

Modifica del fuso orario

Arresto forzato da un sistema remoto

Ripristino di file e directory

Arresto del sistema

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Server licenze Terminal Server Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono aggiornare gli account utente in Active Directory con informazioni sul rilascio della licenza, allo scopo di tenere traccia e segnalare l'utilizzo delle licenze CAL TS per utente

Diritti utente diretti predefiniti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Utenti Contenitore predefinito

Gruppo di sicurezza locale di dominio

Gli utenti hanno autorizzazioni che consentono di leggere molti oggetti e attributi in Active Directory, anche se non possono modificare la maggior parte. Gli utenti non possono apportare modifiche accidentali o intenzionali a livello di sistema e possono eseguire la maggior parte delle applicazioni.

Diritti utente diretti:

Aumento di un working set di processo

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Gruppo di accesso autorizzazione Windows Contenitore predefinito

Gruppo di sicurezza locale di dominio

I membri di questo gruppo hanno accesso all'attributo tokenGroupsGlobalAndUniversal calcolato sugli oggetti User

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

WinRMRemoteWMIUsers_ (Windows Server 2012) Contenitore utenti

Gruppo di sicurezza locale di dominio

I membri di questo gruppo possono accedere alle risorse WMI tramite protocolli di gestione, ad esempio WS-Management tramite il Windows di gestione remota. Si applica solo agli spazi dei nomi WMI che concedono l'accesso all'utente.

Diritti utente diretti: Nessuno

Diritti utente ereditati:

Accesso al computer dalla rete

Aggiunta di workstation al dominio

Ignorare controllo incrociato

Aumento di un working set di processo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Appendice B: Account con privilegi e gruppi in Active Directory

Gli account e i gruppi con privilegi in Active Directory sono quelli a cui vengono concessi diritti, privilegi e autorizzazioni potenti che consentono loro di eseguire quasi qualsiasi azione in Active Directory e nei sistemi aggiunti a un dominio. Questa appendice inizia illustrando diritti, privilegi e autorizzazioni, seguiti da informazioni sugli account e i gruppi "con privilegi più elevati" in Active Directory, ad esempio gli account e i gruppi più potenti.

Vengono inoltre fornite informazioni sugli account e i gruppi predefiniti e predefiniti in Active Directory, oltre ai relativi diritti. Anche se vengono fornite indicazioni di configurazione specifiche per la protezione degli account e dei gruppi con privilegi più elevati come appendice separate, questa appendice fornisce informazioni di base che consentono di identificare gli utenti e i gruppi da concentrare sulla protezione. È consigliabile farlo perché possono essere sfruttati da utenti malintenzionati per compromettere e persino distruggere l'installazione di Active Directory.

Diritti, privilegi e autorizzazioni in Active Directory

Le differenze tra diritti, autorizzazioni e privilegi possono generare confusione e contraddittorie, anche all'interno della documentazione di Microsoft. In questa sezione vengono descritte alcune delle caratteristiche di ognuna in quanto vengono usate in questo documento. Queste descrizioni non devono essere considerate autorevoli per altri documenti Microsoft, perché possono usare questi termini in modo diverso.

Diritti e privilegi

I diritti e i privilegi sono in effetti le stesse funzionalità a livello di sistema concesse alle entità di sicurezza, ad esempio utenti, servizi, computer o gruppi. Nelle interfacce usate in genere dai professionisti IT, questi vengono in genere definiti "diritti" o "diritti utente" e vengono spesso assegnati da Criteri di gruppo Objects. Lo screenshot seguente mostra alcuni dei diritti utente più comuni che possono essere assegnati alle entità di sicurezza (rappresenta l'oggetto Criteri di gruppo Controller di dominio predefiniti in un Windows Server 2012 dominio). Alcuni di questi diritti si applicano ad Active Directory, ad esempio il diritto utente Abilita l'attendibilità degli account computer e utente per la delega, mentre altri diritti si applicano al sistema operativo Windows, ad esempio Modifica ora di sistema .

privileged accounts and groups

Nelle interfacce, ad esempio Editor oggetti Criteri di gruppo, tutte queste funzionalità assegnabili sono definite in generale diritti utente. In realtà, tuttavia, alcuni diritti utente vengono definiti diritti a livello di codice, mentre altri vengono definiti privilegi a livello di codice. Tabella B-1: Diritti utente e privilegi forniscono alcuni dei diritti utente assegnabili più comuni e le relative costanti a livello di codice. Sebbene Criteri di gruppo e altre interfacce facciano riferimento a tutte queste come diritti utente, alcune vengono identificate a livello di codice come diritti, mentre altre sono definite come privilegi.

Per altre informazioni su ognuno dei diritti utente elencati nella tabella seguente, usare i collegamenti nella tabella oppure vedere Guida alle minacce e alle contromisure: diritti utente nella guida alla mitigazione di minacce e vulnerabilità per Windows Server 2008 R2 nel sito Microsoft TechNet. Per informazioni applicabili a Windows Server 2008, vedere Diritti utente nella documentazione relativa alla mitigazione delle minacce e delle vulnerabilità nel sito Microsoft TechNet. Al momento della stesura di questo documento, la documentazione corrispondente Windows Server 2012 non è ancora pubblicata.

Nota

Ai fini di questo documento, i termini "diritti" e "diritti utente" vengono usati per identificare diritti e privilegi, se non diversamente specificato.

Tabella B-1: Diritti utente e privilegi
Diritto utente in Criteri di gruppo Nome della costante
Accesso a Gestione credenziali come chiamante trusted SeTrustedCredManAccessPrivilege
Accesso al computer dalla rete SeNetworkLogonRight
Agisci come parte del sistema operativo SeTcbPrivilege
Aggiunta di workstation al dominio SeMachineAccountPrivilege
Regolazione limite risorse memoria per un processo SeIncreaseQuotaPrivilege
Consentire l'accesso in locale SeInteractiveLogonRight
Consenti accesso tramite Servizi terminal SeRemoteInteractiveLogonRight
Eseguire il backup di file e directory SeBackupPrivilege
Ignorare controllo incrociato SeChangeNotifyPrivilege
Modifica dell'orario di sistema SeSystemtimePrivilege
Modifica del fuso orario SeTimeZonePrivilege
Creazione di file di paging SeCreatePagefilePrivilege
Creare un oggetto token SeCreateTokenPrivilege
Creazione oggetti globali SeCreateGlobalPrivilege
Creazione di oggetti condivisi permanentemente SeCreatePermanentPrivilege
Creazione di collegamenti simbolici SeCreateSymbolicLinkPrivilege
Eseguire il debug di programmi SeDebugPrivilege
Nega accesso al computer dalla rete SeDenyNetworkLogonRight
Negare l'accesso come processo batch SeDenyBatchLogonRight
Nega accesso come servizio SeDenyServiceLogonRight
Nega accesso locale SeDenyInteractiveLogonRight
Negare l'accesso tramite Servizi terminal SeDenyRemoteInteractiveLogonRight
Abilitare gli account computer e utente come attendibili per la delega SeEnableDelegationPrivilege
Arresto forzato da un sistema remoto SeRemoteShutdownPrivilege
Generare controlli di sicurezza SeAuditPrivilege
Rappresentare un client dopo l'autenticazione SeImpersonatePrivilege
Aumento di un working set di processo SeIncreaseWorkingSetPrivilege
Aumento della priorità di pianificazione SeIncreaseBasePriorityPrivilege
Caricare e scaricare i driver di dispositivo SeLoadDriverPrivilege
Bloccare le pagine in memoria SeLockMemoryPrivilege
Accedere come processo batch SeBatchLogonRight
Accedere come servizio SeServiceLogonRight
Gestire il controllo e il log di sicurezza SeSecurityPrivilege
Modifica delle etichette di oggetti SeRelabelPrivilege
Modificare i valori dell'ambiente firmware SeSystemEnvironmentPrivilege
Esecuzione operazioni di manutenzione volume SeManageVolumePrivilege
Creazione di profilo del singolo processo SeProfileSingleProcessPrivilege
Creazione di profilo delle prestazioni del sistema SeSystemProfilePrivilege
Rimozione del computer dall'alloggiamento SeUndockPrivilege
Sostituzione di token a livello di processo SeAssignPrimaryTokenPrivilege
Ripristinare file e directory SeRestorePrivilege
Arresto del sistema SeShutdownPrivilege
Sincronizzazione dei dati di Active Directory SeSyncAgentPrivilege
Assumere la proprietà di file o altri oggetti SeTakeOwnershipPrivilege

Autorizzazioni

Le autorizzazioni sono controlli di accesso applicati a oggetti a protezione diretta, ad esempio file system, registro, servizio e oggetti di Active Directory. A ogni oggetto a protezione diretta è associato un elenco di controllo di accesso (ACL), che contiene voci di controllo di accesso (ACE) che concedono o negano a entità di sicurezza (utenti, servizi, computer o gruppi) la possibilità di eseguire diverse operazioni sull'oggetto. Ad esempio, gli ACL per molti oggetti in Active Directory contengono voci ACE che consentono agli utenti autenticati di leggere informazioni generali sugli oggetti, ma non consentono loro di leggere informazioni riservate o di modificare gli oggetti. Ad eccezione dell'account Guest predefinito di ogni dominio, ogni entità di sicurezza che accede e viene autenticata da un controller di dominio in una foresta Active Directory o in una foresta trusted ha l'IDENTIFICATORE di sicurezza (SID) authenticated Users aggiunto al token di accesso per impostazione predefinita. Pertanto, se un utente, un servizio o un account computer tenta di leggere le proprietà generali sugli oggetti utente in un dominio, l'operazione di lettura ha esito positivo.

Se un'entità di sicurezza tenta di accedere a un oggetto per cui non sono definite ACE e che contengono un SID presente nel token di accesso dell'entità, l'entità non può accedere all'oggetto. Inoltre, se una voce ACE nell'ACL di un oggetto contiene una voce di rifiuto per un SID corrispondente al token di accesso dell'utente, la voce ACE "deny" in genere eseguirà l'override di una voce ACE "allow" in conflitto. Per altre informazioni sul controllo di accesso in Windows, vedere Controllo di accesso nel sito Web MSDN.

All'interno di questo documento, le autorizzazioni si riferiscono alle funzionalità concesse o negate alle entità di sicurezza per gli oggetti a protezione diretta. Ogni volta che si verifica un conflitto tra un diritto utente e un'autorizzazione, il diritto utente ha in genere la precedenza. Ad esempio, se un oggetto in Active Directory è stato configurato con un ACL che nega agli amministratori l'accesso in lettura e scrittura a un oggetto, un utente membro del gruppo Administrators del dominio non sarà in grado di visualizzare molte informazioni sull'oggetto. Tuttavia, poiché al gruppo Administrators viene concesso il diritto utente "Assumere la proprietà di file o altri oggetti", l'utente può semplicemente assumere la proprietà dell'oggetto in questione, quindi riscrivere l'elenco di controllo di accesso dell'oggetto per concedere agli amministratori il controllo completo dell'oggetto.

È per questo motivo che questo documento invita a evitare di usare account e gruppi potenti per l'amministrazione quotidiana, anziché tentare di limitare le funzionalità degli account e dei gruppi. Non è effettivamente possibile impedire a un utente determinato che ha accesso a credenziali potenti di usare tali credenziali per ottenere l'accesso a qualsiasi risorsa a protezione diretta.

Account e gruppi con privilegi predefiniti

Active Directory è progettato per facilitare la delega dell'amministrazione e il principio dei privilegi minimi per l'assegnazione di diritti e autorizzazioni. Gli utenti "normali" che hanno account in un dominio active directory sono, per impostazione predefinita, in grado di leggere gran parte degli elementi archiviati nella directory, ma sono in grado di modificare solo un set molto limitato di dati nella directory. Agli utenti che richiedono privilegi aggiuntivi può essere concessa l'appartenenza a vari gruppi con privilegi incorporati nella directory in modo che possano eseguire attività specifiche correlate ai propri ruoli, ma non possono eseguire attività non rilevanti per i propri compiti.

In Active Directory sono presenti tre gruppi predefiniti che comprendono i gruppi con privilegi più elevati nella directory: il gruppo Enterprise Admins (EA), il gruppo Domain Admins (DA) e il gruppo predefinito Administrators (BA).

Un quarto gruppo, il gruppo Schema Admins (SA), ha privilegi che, in caso di utilizzo improprio, possono danneggiare o eliminare un'intera foresta Active Directory, ma questo gruppo è più limitato nelle proprie funzionalità rispetto ai gruppi EA, DA e BA.

Oltre a questi quattro gruppi, in Active Directory sono disponibili diversi account e gruppi predefiniti aggiuntivi, ognuno dei quali dispone di diritti e autorizzazioni che consentono l'esecuzione di attività amministrative specifiche. Anche se questa appendice non fornisce una descrizione approfondita di ogni gruppo predefinito o predefinito in Active Directory, fornisce una tabella dei gruppi e degli account che è più probabile vedere nelle installazioni.

Ad esempio, se si installa Microsoft Exchange Server in una foresta Active Directory, è possibile creare altri account e gruppi nei contenitori Predefiniti e Utenti nei domini. Questa appendice descrive solo i gruppi e gli account creati nei contenitori Predefiniti e Utenti in Active Directory, in base ai ruoli nativi e alle funzionalità. Gli account e i gruppi creati dall'installazione del software aziendale non sono inclusi.

Enterprise Admins

Il gruppo Enterprise Admins (EA) si trova nel dominio radice della foresta e, per impostazione predefinita, è membro del gruppo Administrators predefinito in ogni dominio della foresta. L'account Amministratore predefinito nel dominio radice della foresta è l'unico membro predefinito del gruppo EA. Agli EA vengono concessi diritti e autorizzazioni che consentono di influire sulle modifiche a livello di foresta. Si tratta di modifiche che interessano tutti i domini nella foresta, ad esempio l'aggiunta o la rimozione di domini, la definizione di trust tra foreste o l'aumento dei livelli di funzionalità della foresta. In un modello di delega progettato e implementato correttamente, l'appartenenza EA è necessaria solo quando si costruisce la foresta per la prima volta o quando si apportano determinate modifiche a livello di foresta, ad esempio la definizione di un trust tra foreste in uscita.

Il gruppo EA si trova per impostazione predefinita nel contenitore Users nel dominio radice della foresta ed è un gruppo di sicurezza universale, a meno che il dominio radice della foresta non sia in esecuzione in modalità mista Windows 2000 Server, nel qual caso il gruppo è un gruppo di sicurezza globale. Anche se alcuni diritti vengono concessi direttamente al gruppo EA, molti dei diritti di questo gruppo vengono effettivamente ereditati dal gruppo EA perché è membro del gruppo Administrators in ogni dominio nella foresta. Enterprise amministratori non hanno diritti predefiniti per workstation o server membri.

Domain Admins

Ogni dominio in una foresta ha un proprio gruppo Domain Admins (DA), membro del gruppo Administrators (BA) predefinito di tale dominio, oltre a un membro del gruppo Administrators locale in ogni computer aggiunto al dominio. L'unico membro predefinito del gruppo DA per un dominio è l'account amministratore predefinito per tale dominio.

Le DA sono potenti all'interno dei rispettivi domini, mentre gli EA hanno privilegi a livello di foresta. In un modello di delega progettato e implementato correttamente, l'appartenenza DA deve essere necessaria solo in scenari di "break glass", ovvero situazioni in cui è necessario un account con livelli elevati di privilegi in ogni computer del dominio o quando è necessario apportare determinate modifiche a livello di dominio. Sebbene i meccanismi di delega nativi di Active Directory consentano la delega nella misura in cui è possibile usare gli account DA solo in scenari di emergenza, la creazione di un modello di delega efficace può richiedere molto tempo e molte organizzazioni usano applicazioni di terze parti per accelerare il processo.

Il gruppo DA è un gruppo di sicurezza globale che si trova nel contenitore Users per il dominio. Esiste un gruppo DA per ogni dominio nella foresta e l'unico membro predefinito di un gruppo DA è l'account Amministratore predefinito del dominio. Poiché il gruppo DA di un dominio è annidato nel gruppo BA del dominio e nel gruppo Administrators locale di ogni sistema aggiunto al dominio, le autorità di dominio non solo hanno autorizzazioni concesse in modo specifico agli amministratori di dominio, ma ereditano anche tutti i diritti e le autorizzazioni concessi al gruppo Administrators del dominio e al gruppo Administrators locale in tutti i sistemi aggiunti al dominio.

Administrators

Il gruppo Administrators (BA) predefinito è un gruppo locale di dominio nel contenitore predefinito di un dominio in cui sono annidati gli amministratori di dominio e gli EA ed è questo gruppo a cui vengono concessi molti dei diritti e delle autorizzazioni diretti nella directory e nei controller di dominio. Tuttavia, il gruppo Administrators per un dominio non dispone di privilegi sui server membri o sulle workstation. L'appartenenza al gruppo Administrators locale dei computer aggiunti a un dominio è la posizione in cui viene concesso il privilegio locale; e dei gruppi discussi, solo le autorità di registrazione sono membri di tutti i gruppi Administrators locali di tutti i computer aggiunti a un dominio per impostazione predefinita.

Il gruppo Administrators è un gruppo locale di dominio nel contenitore predefinito del dominio. Per impostazione predefinita, il gruppo BA di ogni dominio contiene l'account Amministratore predefinito del dominio locale, il gruppo DA del dominio locale e il gruppo EA del dominio radice della foresta. Molti diritti utente in Active Directory e nei controller di dominio vengono concessi in modo specifico al gruppo Administrators, non agli EA o alle DA. Al gruppo BA di un dominio vengono concesse autorizzazioni di controllo completo per la maggior parte degli oggetti directory e possono assumere la proprietà degli oggetti directory. Anche se ai gruppi EA e DA vengono concesse determinate autorizzazioni specifiche degli oggetti nella foresta e nei domini, gran parte della potenza dei gruppi viene effettivamente "ereditata" dalla loro appartenenza ai gruppi BA.

Nota

Sebbene queste siano le configurazioni predefinite di questi gruppi con privilegi, un membro di uno dei tre gruppi può modificare la directory per ottenere l'appartenenza a uno qualsiasi degli altri gruppi. In alcuni casi, è semplice da ottenere, mentre in altri è più difficile, ma dal punto di vista del potenziale privilegio, tutti e tre i gruppi devono essere considerati equivalenti in modo efficace.

Schema Admins

Il gruppo Schema Admins (SA) è un gruppo universale nel dominio radice della foresta e ha come membro predefinito solo l'account Administrator predefinito del dominio, simile al gruppo EA. Anche se l'appartenenza al gruppo SA può consentire a un utente malintenzionato di compromettere lo schema di Active Directory, che è il framework per l'intera foresta Active Directory, le SA hanno pochi diritti e autorizzazioni predefiniti oltre allo schema.

È necessario gestire e monitorare attentamente l'appartenenza al gruppo SA, ma per alcuni aspetti questo gruppo è "meno privilegiato" rispetto ai tre gruppi con privilegi più elevati descritti in precedenza perché l'ambito del relativo privilegio è molto ristretto; in altre parole, le AUTORITÀ di gestione non hanno diritti amministrativi diversi da quello dello schema.

Gruppi predefiniti e predefiniti aggiuntivi in Active Directory

Per facilitare la delega dell'amministrazione nella directory, Active Directory viene fornito con vari gruppi predefiniti e predefiniti a cui sono stati concessi diritti e autorizzazioni specifici. Questi gruppi sono descritti brevemente nella tabella seguente.

La tabella seguente elenca i gruppi predefiniti e predefiniti in Active Directory. Entrambi i set di gruppi esistono per impostazione predefinita. Tuttavia, i gruppi predefiniti si trovano (per impostazione predefinita) nel contenitore predefinito in Active Directory, mentre i gruppi predefiniti si trovano (per impostazione predefinita) nel contenitore Utenti in Active Directory. I gruppi nel contenitore predefinito sono tutti gruppi locali di dominio, mentre i gruppi nel contenitore Utenti sono una combinazione di gruppi locali di dominio, globali e universali, oltre a tre singoli account utente (Administrator, Guest e Krbtgt).

Oltre ai gruppi con privilegi più elevati descritti in precedenza in questa appendice, ad alcuni account e gruppi predefiniti e predefiniti vengono concessi privilegi elevati e devono anche essere protetti e usati solo in host amministrativi protetti. Questi gruppi e account sono disponibili nelle righe ombreggiate nella tabella B-1: Gruppi e account predefiniti e predefiniti in Active Directory. Poiché ad alcuni di questi gruppi e account vengono concessi diritti e autorizzazioni che possono essere utilizzati in modo improprio per compromettere Active Directory o i controller di dominio, vengono concesse protezioni aggiuntive, come descritto in Appendice C:Gruppi e account protetti in Active Directory.

Tabella B-1: Account e gruppi predefiniti e predefiniti in Active Directory