Account locali

Si applica a

  • Windows 10
  • Windows Server 2019
  • WindowsServer 2016

In questo argomento di riferimento per i professionisti IT vengono descritti gli account utente locali predefiniti per i server, inclusa la modalità di gestione di questi account predefiniti in un server membro o autonomo.

Informazioni sugli account utente locali

Gli account utente locali vengono archiviati localmente nel server. A questi account possono essere assegnati diritti e autorizzazioni su un server specifico, ma solo su tale server. Gli account utente locali sono entità di sicurezza utilizzate per proteggere e gestire l'accesso alle risorse in un server autonomo o membro per servizi o utenti.

In questo argomento vengono descritti gli argomenti seguenti:

Per informazioni sulle entità di sicurezza, vedere Entità di sicurezza.

Account utente locali predefiniti

Gli account utente locali predefiniti sono account predefiniti che vengono creati automaticamente quando si installa Windows.

Dopo Windows, gli account utente locali predefiniti non possono essere rimossi o eliminati. Inoltre, gli account utente locali predefiniti non forniscono l'accesso alle risorse di rete.

Gli account utente locali predefiniti vengono utilizzati per gestire l'accesso alle risorse del server locale in base ai diritti e alle autorizzazioni assegnati all'account. Gli account utente locali predefiniti e gli account utente locali creati si trovano nella cartella Utenti. La cartella Utenti si trova nella cartella Utenti e gruppi locali in Gestione computer locale di Microsoft Management Console (MMC). Gestione computer è una raccolta di strumenti di amministrazione che è possibile utilizzare per gestire un singolo computer locale o remoto. Per ulteriori informazioni, vedere Come gestire gli account locali più avanti in questo argomento.

Gli account utente locali predefiniti sono descritti nelle sezioni seguenti.

Account amministratore

L'account administrator locale predefinito è un account utente per l'amministratore di sistema. Ogni computer dispone di un account amministratore (SID S-1-5-dominio-500, nome visualizzato Amministratore). L'account Administrator è il primo account creato durante l Windows installazione.

L'account Administrator ha il controllo completo di file, directory, servizi e altre risorse nel computer locale. L'account Administrator può creare altri utenti locali, assegnare diritti utente e assegnare autorizzazioni. L'account Administrator può assumere il controllo delle risorse locali in qualsiasi momento semplicemente modificando i diritti utente e le autorizzazioni.

L'account Administrator predefinito non può essere eliminato o bloccato, ma può essere rinominato o disabilitato.

In Windows 10 e Windows Server 2016, Windows'installazione disabilita l'account Administrator predefinito e crea un altro account locale membro del gruppo Administrators. I membri dei gruppi Administrators possono eseguire app con autorizzazioni elevate senza usare l'opzione Esegui come amministratore. Cambio rapido utente è più sicuro rispetto all'utilizzo di Runas o dell'elevazione di utenti diversi.

Appartenenza al gruppo di account

Per impostazione predefinita, l'account Administrator viene installato come membro del gruppo Administrators nel server. È consigliabile limitare il numero di utenti nel gruppo Administrators perché i membri del gruppo Administrators in un server locale dispongono delle autorizzazioni Controllo completo su tale computer.

L'account Administrator non può essere eliminato o rimosso dal gruppo Administrators, ma può essere rinominato.

Considerazioni sulla sicurezza

Poiché l'account Administrator è noto per esistere in molte versioni del sistema operativo Windows, è consigliabile disabilitare l'account Administrator quando possibile per rendere più difficile per gli utenti malintenzionati ottenere l'accesso al server o al computer client.

È possibile rinominare l'account administrator. Tuttavia, un account Administrator rinominato continua a utilizzare lo stesso IDENTIFICATORE di sicurezza (SID) assegnato automaticamente, che può essere individuato da utenti malintenzionati. Per ulteriori informazioni su come rinominare o disabilitare un account utente, vedere Disabilitare o attivare un account utente locale e Rinominare un account utente locale.

Come procedura consigliata per la sicurezza, utilizzare l'account locale **** (non amministratore) per accedere e quindi utilizzare Esegui come amministratore per eseguire attività che richiedono un livello di diritti superiore rispetto a un account utente standard. Non utilizzare l'account Administrator per accedere al computer, a meno che non sia del tutto necessario. Per ulteriori informazioni, vedere Eseguire un programma con credenziali amministrative.

In confronto, nel sistema operativo Windows client, un utente con un account utente locale con diritti di amministratore viene considerato l'amministratore di sistema del computer client. Il primo account utente locale creato durante l'installazione viene inserito nel gruppo Administrators locale. Tuttavia, quando più utenti vengono eseguiti come amministratori locali, il personale IT non ha alcun controllo su questi utenti o sui loro computer client.

In questo caso, è possibile utilizzare Criteri di gruppo per abilitare impostazioni protette in grado di controllare automaticamente l'utilizzo del gruppo Administrators locale in ogni server o computer client. Per ulteriori informazioni su Criteri di gruppo, vedere Group Policy Overview.

Nota
Le password vuote non sono consentite nelle versioni designate nell'elenco Si applica a all'inizio di questo argomento.

Importante
Anche quando l'account Administrator è stato disabilitato, può comunque essere utilizzato per ottenere l'accesso a un computer utilizzando la modalità provvisoria. Nella Console di ripristino o in modalità provvisoria, l'account Administrator viene abilitato automaticamente. Quando vengono riprese le normali operazioni, questa viene disabilitata.

Account guest

L'account Guest è disabilitato per impostazione predefinita durante l'installazione. L'account Guest consente agli utenti occasionali o occasionali, che non dispongono di un account nel computer, di accedere temporaneamente al server locale o al computer client con diritti utente limitati. Per impostazione predefinita, l'account Guest ha una password vuota. Poiché l'account Guest può fornire l'accesso anonimo, è un rischio per la sicurezza. Per questo motivo, è consigliabile lasciare disabilitato l'account Guest, a meno che l'utilizzo non sia del tutto necessario.

Appartenenza al gruppo di account

Per impostazione predefinita, l'account Guest è l'unico membro del gruppo Guest predefinito (SID S-1-5-32-546), che consente a un utente di accedere a un server. In alcuni casi, un amministratore membro del gruppo Administrators può configurare un utente con un account Guest in uno o più computer.

Considerazioni sulla sicurezza

Quando si abilita l'account Guest, concedere solo diritti e autorizzazioni limitati. Per motivi di sicurezza, l'account Guest non deve essere utilizzato in rete e reso accessibile ad altri computer.

Inoltre, l'utente guest nell'account Guest non dovrebbe essere in grado di visualizzare i registri eventi. Dopo aver abilitato l'account Guest, è consigliabile monitorare frequentemente l'account Guest per assicurarsi che altri utenti non siano in grado di utilizzare servizi e altre risorse, ad esempio le risorse che sono state involontariamente lasciati disponibili da un utente precedente.

Account HelpAssistant (installato con una sessione di Assistenza remota)

L'account HelpAssistant è un account locale predefinito abilitato quando viene eseguita una sessione di Assistenza remota. Questo account viene disabilitato automaticamente quando non sono in sospeso richieste di Assistenza remota.

HelpAssistant è l'account principale utilizzato per stabilire una sessione di Assistenza remota. La sessione di Assistenza remota viene utilizzata per connettersi a un altro computer che esegue Windows sistema operativo e viene avviata su invito. Per l'assistenza remota richiesta, un utente invia un invito dal computer, tramite posta elettronica o come file, a una persona in grado di fornire assistenza. Dopo l'accettazione dell'invito dell'utente per una sessione di Assistenza remota, viene creato automaticamente l'account HelpAssistant predefinito per concedere all'utente che fornisce assistenza un accesso limitato al computer. L'account HelpAssistant è gestito dal servizio Gestione sessione Guida desktop remoto.

Considerazioni sulla sicurezza

I SID relativi all'account HelpAssistant predefinito includono:

  • SID: S-1-5- < dominio > -13, nome visualizzato Utente terminal Server. Questo gruppo include tutti gli utenti che a loro volta a un server con Servizi Desktop remoto abilitato. Si noti che, in Windows Server 2008, Servizi Desktop remoto è denominato Servizi terminal.

  • SID: S-1-5- < dominio > -14, nome visualizzato Accesso interattivo remoto. Questo gruppo include tutti gli utenti che si connettono al computer utilizzando una connessione desktop remoto. Questo gruppo è un sottoinsieme del gruppo Interattivo. I token di accesso che contengono il SID di accesso interattivo remoto contengono anche il SID interattivo.

Per il Windows Server, Assistenza remota è un componente facoltativo che non viene installato per impostazione predefinita. È necessario installare Assistenza remota prima di poterla utilizzare.

Per informazioni dettagliate sugli attributi dell'account HelpAssistant, vedere la tabella seguente.

Attributi dell'account HelpAssistant

Attributo Valore

Well-Known SID/RID

S-1-5- < dominio > -13 (utente terminal server), S-1-5- < dominio > -14 (Accesso interattivo remoto)

Tipo

Utente

Contenitore predefinito

CN=Users, DC= < domain > , DC=

Membri predefiniti

Nessuno

Membro predefinito di

Domain Guests

Guest

Protetto da ADMINSDHOLDER?

No

Cassaforte di uscire dal contenitore predefinito?

Può essere spostato fuori, ma non è consigliabile.

Cassaforte delegare la gestione di questo gruppo agli amministratori non di servizio?

No

DefaultAccount

DefaultAccount, noto anche come account gestito di sistema predefinito (DSMA), è un account predefinito introdotto in Windows 10 versione 1607 e Windows Server 2016. DSMA è un tipo di account utente noto. Si tratta di un account indipendente dall'utente che può essere utilizzato per eseguire processi in grado di riconoscere più utenti o indipendenti dall'utente. DSMA è disabilitato per impostazione predefinita nelle SKU desktop (SKU windows completi) e WS 2016 con desktop.

Il DSMA ha un RID noto di 503. L'identificatore di sicurezza (SID) del DSMA avrà quindi un SID noto nel formato seguente: S-1-5-21- <ComputerIdentifier> -503

DSMA è un membro del noto gruppo System Managed Accounts Group, che ha un SID noto di S-1-5-32-581.

L'alias DSMA può essere concesso l'accesso alle risorse durante la gestione temporanea offline anche prima della creazione dell'account stesso. L'account e il gruppo vengono creati durante il primo avvio del computer all'interno di Gestione account di sicurezza (SAM).

Come Windows l'oggetto DefaultAccount

Dal punto di vista delle autorizzazioni, DefaultAccount è un account utente standard. DefaultAccount è necessario per eseguire app con manifesto multiutente (app DIM). Le app DIM vengono eseguite sempre e reagiscono agli utenti che eseguono l'accesso e la disconnessione dei dispositivi. A Windows desktop in cui le app vengono eseguite nel contesto dell'utente e vengono terminate quando l'utente si disconnette, le app DIM VENGONO eseguite tramite DSMA.

Le app DIM sono funzionali negli SKU di sessione condivisa, ad esempio Xbox. Ad esempio, la shell Xbox è un'app DIM. Oggi Xbox accede automaticamente come account Guest e tutte le app vengono eseguite in questo contesto. Tutte le app sono in grado di riconoscere più utenti e rispondono agli eventi generati da User Manager. Le app vengono eseguite come account Guest.

Analogamente, Telefono automaticamente accede come account "DefApps", simile all'account utente standard in Windows ma con alcuni privilegi aggiuntivi. Broker, alcuni servizi e app vengono eseguiti come questo account.

Nel modello utente convergente, le app con supporto per più utenti e i broker con più utenti dovranno essere eseguiti in un contesto diverso da quello degli utenti. A questo scopo, il sistema crea DSMA.

Come viene creato DefaultAccount nei controller di dominio

Se il dominio è stato creato con controller di dominio che eseguono Windows Server 2016, DefaultAccount sarà presente in tutti i controller di dominio nel dominio. Se il dominio è stato creato con controller di dominio che eseguono una versione precedente di Windows Server, defaultAccount verrà creato dopo il trasferimento del ruolo Emulator PDC a un controller di dominio che esegue Windows Server 2016. DefaultAccount verrà quindi replicato in tutti gli altri controller di dominio del dominio.

Consigli per la gestione dell'account predefinito (DSMA)

Microsoft sconsiglia di modificare la configurazione predefinita, in cui l'account è disabilitato. Non esiste alcun rischio per la sicurezza con l'account nello stato disabilitato. La modifica della configurazione predefinita potrebbe ostacolare gli scenari futuri che si basano su questo account.

Account di sistema locali predefiniti

SYSTEM

L'account SYSTEM viene utilizzato dal sistema operativo e dai servizi eseguiti in Windows. Nel sistema operativo Windows sono presenti molti servizi e processi che necessitano della capacità di accedere internamente, ad esempio durante un'Windows di installazione. L'account SYSTEM è stato progettato per questo scopo e Windows i diritti utente dell'account SYSTEM. Si tratta di un account interno che non viene visualizzato in User Manager e non può essere aggiunto ad alcun gruppo.

D'altra parte, l'account SYSTEM viene visualizzato in un volume del file system NTFS in File Manager nella parte Autorizzazioni del menu Sicurezza. Per impostazione predefinita, all'account SYSTEM vengono concesse autorizzazioni di controllo completo per tutti i file in un volume NTFS. In questo caso l'account SYSTEM ha gli stessi diritti e autorizzazioni funzionali dell'account Administrator.

Nota
Per concedere all'account le autorizzazioni del file del gruppo Administrators non concede implicitamente l'autorizzazione all'account SYSTEM. Le autorizzazioni dell'account SYSTEM possono essere rimosse da un file, ma non è consigliabile rimuoverle.

SERVIZIO DI RETE

L'account SERVIZIO DI RETE è un account locale predefinito utilizzato da Gestione controllo servizi. Un servizio eseguito nel contesto dell'account NETWORK SERVICE presenta le credenziali del computer ai server remoti. Per ulteriori informazioni, vedere Account NetworkService.

SERVIZIO LOCALE

L'account SERVIZIO LOCALE è un account locale predefinito utilizzato da Gestione controllo servizi. Ha privilegi minimi sul computer locale e presenta credenziali anonime sulla rete. Per ulteriori informazioni, vedere Account LocalService.

Come gestire gli account utente locali

Gli account utente locali predefiniti e gli account utente locali creati si trovano nella cartella Utenti. La cartella Utenti si trova in Utenti e gruppi locali. Per ulteriori informazioni sulla creazione e la gestione di account utente locali, vedere Manage Local Users.

È possibile utilizzare Utenti e gruppi locali per assegnare diritti e autorizzazioni sul server locale e solo su tale server, per limitare la capacità di utenti e gruppi locali di eseguire determinate azioni. Un diritto autorizza un utente a eseguire determinate azioni su un server, ad esempio il backup di file e cartelle o l'arresto di un server. Un'autorizzazione di accesso è una regola associata a un oggetto, in genere un file, una cartella o una stampante. Regola quali utenti possono avere accesso a un oggetto nel server e in che modo.

Non è possibile utilizzare Utenti e gruppi locali in un controller di dominio. Tuttavia, è possibile utilizzare Utenti e gruppi locali in un controller di dominio per fare in modo che i computer remoti non siano controller di dominio nella rete.

Nota
Utilizzare Utenti e computer di Active Directory per gestire utenti e gruppi in Active Directory.

È inoltre possibile gestire gli utenti locali utilizzando NET.EXE USER e gestire i gruppi locali tramite NET.EXE LOCALGROUP o utilizzando una vasta gamma di cmdlet di PowerShell e altre tecnologie di script.

Limitare e proteggere gli account locali con diritti amministrativi

Un amministratore può utilizzare diversi approcci per impedire agli utenti malintenzionati di utilizzare credenziali rubate, ad esempio una password rubata o un hash della password, per un account locale in un computer da utilizzare per l'autenticazione in un altro computer con diritti amministrativi; questo è anche chiamato "movimento laterale".

L'approccio più semplice consiste nell'accedere al computer con un account utente standard, anziché utilizzare l'account Amministratore per le attività, ad esempio per esplorare Internet, inviare messaggi di posta elettronica o utilizzare un elaboratore di testi. Quando si desidera eseguire un'attività amministrativa, ad esempio per installare un nuovo programma o per modificare un'impostazione che interessa altri utenti, non è necessario passare a un account amministratore. È possibile utilizzare Controllo dell'account utente per richiedere l'autorizzazione o una password di amministratore prima di eseguire l'attività, come descritto nella sezione successiva.

Gli altri approcci che possono essere utilizzati per limitare e proteggere gli account utente con diritti amministrativi includono:

  • Applicare restrizioni agli account locali per l'accesso remoto.

  • Negare l'accesso di rete a tutti gli account administrator locali.

  • Creare password univoche per gli account locali con diritti amministrativi.

Ognuno di questi approcci è descritto nelle sezioni seguenti.

Nota
Questi approcci non si applicano se tutti gli account locali amministrativi sono disabilitati.

Applicare restrizioni agli account locali per l'accesso remoto

Controllo dell'account utente è una funzionalità di sicurezza di Windows utilizzata in Windows Server 2008 e in Windows Vista e nei **** sistemi operativi a cui fa riferimento l'elenco Si applica a. Il controllo dell'account utente consente di mantenere il controllo del computer informando l'utente quando un programma apporta una modifica che richiede l'autorizzazione a livello di amministratore. Il controllo dell'account utente funziona modificando il livello di autorizzazione dell'account utente. Per impostazione predefinita, controllo dell'account utente è impostato per inviare una notifica quando le applicazioni tentano di apportare modifiche al computer, ma è possibile modificare la frequenza con cui il controllo dell'account utente invia una notifica.

Il controllo dell'account utente consente a un account con diritti amministrativi di essere considerato un account utente standard non amministratore fino a quando non vengono richiesti e approvati diritti completi, denominati anche elevazione. Il controllo dell'account utente consente ad esempio a un amministratore di immettere le credenziali durante la sessione utente di un utente non amministratore per eseguire attività amministrative occasionali senza dover cambiare utente, disconnettersi o utilizzare il comando Esegui come.

Il controllo dell'account utente può inoltre richiedere agli amministratori di approvare in modo specifico le applicazioni che apportano modifiche a livello di sistema prima che a tali applicazioni venga concessa l'autorizzazione per l'esecuzione, anche nella sessione utente dell'amministratore.

Ad esempio, una funzionalità predefinita del controllo dell'account utente viene visualizzata quando un account locale accede da un computer remoto utilizzando Accesso di rete (ad esempio, utilizzando NET.EXE USE). In questo caso, viene emesso un token utente standard senza diritti amministrativi, ma senza la possibilità di richiedere o ricevere l'elevazione. Di conseguenza, gli account locali che accedono utilizzando Accesso di rete non possono accedere a condivisioni amministrative come C$o ADMIN$, né eseguire alcuna amministrazione remota.

Per ulteriori informazioni sul controllo dell'account utente, vedere User Account Control.

Nella tabella seguente sono riportati i Criteri di gruppo e le impostazioni del Registro di sistema utilizzati per applicare restrizioni di account locali per l'accesso remoto.

No.

Impostazione

Descrizione dettagliata

Percorso dei criteri

Configurazione computer\Impostazioni Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza

1

Nome criterio

Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore

Impostazione dei criteri

Enabled

2

Percorso dei criteri

Configurazione computer\Impostazioni Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza

Nome criterio

Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore

Impostazione dei criteri

Enabled

3

Chiave del Registro di sistema

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Nome del valore del Registro di sistema

LocalAccountTokenFilterPolicy

Tipo di valore del Registro di sistema

DWORD

Dati del valore del Registro di sistema

0

Nota

Puoi anche applicare l'impostazione predefinita per LocalAccountTokenFilterPolicy usando l'ADMX personalizzato nei modelli di sicurezza.

Per applicare restrizioni agli account locali per l'accesso remoto

  1. Avviare Console Gestione Criteri di gruppo.

  2. Nell'albero della console espandere < Foresta > \Domini\ < Dominio > e **** ** ** quindi Oggetti Criteri di gruppo dove foresta è il nome della foresta e dominio è il nome del dominio in cui si desidera impostare l'oggetto Criteri di gruppo.

  3. Nell'albero della console fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppoe scegliere > Nuovo.

    account locali 1.

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare < gpo_namee OK, dove > > **** gpo_name è il nome del nuovo oggetto Criteri di gruppo. Il nome dell'oggetto Criteri di gruppo indica che l'oggetto Criteri di gruppo viene utilizzato per limitare i diritti di amministratore locale a un altro computer.

    account locali 2.

  5. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su < gpo_name > e scegliere > Modifica.

    account locali 3.

  6. Verificare che il controllo dell'account utente sia abilitato e che le restrizioni di Controllo dell'account utente si applicano all'account amministratore predefinito eseguendo le operazioni seguenti:

    1. Passare a Configurazione computer\Windows Impostazioni\Sicurezza Impostazioni\Criteri locali\e Opzioni > di sicurezza.

    2. Fare doppio clic su Controllo account utente: Esegui tutti gli amministratori in modalità approvazione amministratore > Abilitato > OK.

    3. Fare doppio clic su Controllo account utente: modalità approvazione amministratore per l'account amministratore predefinito > Abilitato > OK.

  7. Verificare che le restrizioni dell'account locale siano applicate alle interfacce di rete eseguendo le operazioni seguenti:

    1. Passare a Configurazione computer\Preferenze e Windows Impostazioni e Registro > di sistema.

    2. Fare clic con il pulsante destro del mousesu Registro di sistema e scegliere Nuovo > elemento del Registro di > sistema.

      account locali 4.

    3. Nella scheda Generale della finestra **** di dialogo Nuove proprietà del Registro di sistema modificare l'impostazione nella casella Azione in Sostituisci.

    4. Assicurati che la casella Hive sia impostata su HKEY_LOCAL_MACHINE.

    5. Fare clic su ( ... **** ), passare al percorso seguente per Percorso chiave Selezionare > **** per: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

    6. Nell'area Nome valore digitare LocalAccountTokenFilterPolicy.

    7. Nella casella Tipo valore selezionare REG_DWORD dall'elenco a discesa per modificare il valore.

    8. Nella casella Dati valore verificare che il valore sia impostato su 0.

    9. Verificare questa configurazione e fare clic > su OK.

      account locali 5.

  8. Collegare l'oggetto Criteri di gruppo alla prima unità organizzativa Workstations eseguendo le operazioni seguenti:

    1. Passare alla foresta < ** > \Domains\ < Domain > \OU path.

    2. Fare clic con il pulsante destro del mouse sull'unità organizzativa Workstations > e scegliere Collega un oggetto Criteri di gruppo esistente.

      account locali 6.

    3. Selezionare l'oggetto Criteri di gruppo appena creato, quindi fare clic > su OK.

  9. Testare le funzionalità delle applicazioni aziendali nelle workstation della prima unità organizzativa e risolvere eventuali problemi causati dal nuovo criterio.

  10. Creare collegamenti a tutte le altre unità organizzative che contengono workstation.

  11. Creare collegamenti a tutte le altre unità organizzative che contengono server.

Nega accesso di rete a tutti gli account amministratore locali

Negare agli account locali la possibilità di eseguire accessi di rete può impedire il riutilizzo di un hash della password di un account locale in un attacco dannoso. Questa procedura consente di evitare spostamenti laterali assicurando che le credenziali per gli account locali rubati da un sistema operativo compromesso non possono essere utilizzate per compromettere altri computer che utilizzano le stesse credenziali.

Nota
Per eseguire questa procedura, è necessario identificare innanzitutto il nome dell'account Administrator locale predefinito, che potrebbe non essere il nome utente predefinito "Administrator" e qualsiasi altro account membro del gruppo Administrators locale.

Nella tabella seguente sono illustrate le impostazioni di Criteri di gruppo utilizzate per negare l'accesso di rete per tutti gli account amministratore locali.

No.

Impostazione

Descrizione dettagliata

Percorso dei criteri

Configurazione computer\Windows Impostazioni\Sicurezza Impostazioni\Criteri locali\Assegnazione diritti utente

1

Nome criterio

Nega accesso al computer dalla rete

Impostazione dei criteri

Account locale e membro del gruppo Administrators

2

Percorso dei criteri

Configurazione computer\Windows Impostazioni\Sicurezza Impostazioni\Criteri locali\Assegnazione diritti utente

Nome criterio

Nega accesso tramite Servizi Desktop remoto

Impostazione dei criteri

Account locale e membro del gruppo Administrators

Per negare l'accesso di rete a tutti gli account di amministratore locale

  1. Avviare Console Gestione Criteri di gruppo.

  2. Nell'albero della console espandere < Foresta > \Domini\ < Dominio > e **** ** ** quindi Oggetti Criteri di gruppo , dove foresta è il nome della foresta e dominio è il nome del dominio in cui si desidera impostare l'oggetto Criteri di gruppo.

  3. Nell'albero della console fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppoe scegliere > Nuovo.

  4. Nella **** finestra di dialogo Nuovo oggetto Criteri di gruppo digitare < gpo_namee quindi OK, dove > > **** gpo_name è il nome del nuovo oggetto Criteri di gruppo indica che viene utilizzato per impedire agli account amministrativi locali di accedere in modo interattivo al computer.

    account locali 7.

  5. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su < gpo_name > e scegliere > Modifica.

    account locali 8.

  6. Configurare i diritti utente per negare gli accessi di rete per gli account locali amministrativi nel modo seguente:

    1. Passare a Configurazione computer\Windows Impostazioni\Sicurezza Impostazioni\, e > Assegnazione diritti utente.

    2. Fare doppio clic su Nega accesso al computer dalla rete.

    3. Fare clic su Aggiungi utente o gruppo, digitare Account locale e membro del gruppo Administratorse > OK.

  7. Configurare i diritti utente per negare gli accessi a Desktop remoto (Interattivo remoto) per gli account locali amministrativi come indicato di seguito:

    1. Passare a Configurazione computer\Criteri\Windows Impostazioni e Criteri locali e quindi fare clic su Assegnazione diritti utente.

    2. Fare doppio clic su Nega accesso tramite Servizi Desktop remoto.

    3. Fare clic su Aggiungi utente o gruppo, digitare Account locale e membro del gruppo Administratorse > OK.

  8. Collegare l'oggetto Criteri di gruppo alla prima unità organizzativa Workstations come segue:

    1. Passare alla foresta < ** > \Domains\ < Domain > \OU path.

    2. Fare clic con il pulsante destro del mouse sull'unità organizzativa Workstations > e scegliere Collega un oggetto Criteri di gruppo esistente.

    3. Selezionare l'oggetto Criteri di gruppo appena creato, quindi fare clic > su OK.

  9. Testare le funzionalità delle applicazioni aziendali nelle workstation della prima unità organizzativa e risolvere eventuali problemi causati dal nuovo criterio.

  10. Creare collegamenti a tutte le altre unità organizzative che contengono workstation.

  11. Creare collegamenti a tutte le altre unità organizzative che contengono server.

    Nota
    Potrebbe essere necessario creare un oggetto Criteri di gruppo separato se il nome utente dell'account administrator predefinito è diverso nelle workstation e nei server.

Creare password univoche per gli account locali con diritti amministrativi

Le password devono essere univoche per ogni singolo account. Sebbene ciò sia in genere valido per i singoli account utente, molte aziende hanno password identiche per gli account locali comuni, ad esempio l'account administrator predefinito. Ciò si verifica anche quando vengono utilizzate le stesse password per gli account locali durante le distribuzioni del sistema operativo.

Le password che rimangono invariate o modificate in modo sincrono per mantenerle identiche aggiungono un rischio significativo per le organizzazioni. La casualità delle password riduce gli attacchi "pass-the-hash" utilizzando password diverse per gli account locali, ostacolando la possibilità di utenti malintenzionati di utilizzare hash delle password di tali account per compromettere altri computer.

Le password possono essere randomizzate da:

  • Acquisto e implementazione di uno strumento aziendale per eseguire questa attività. Questi strumenti sono comunemente definiti strumenti di "gestione delle password privilegiate".

  • Configurazione della soluzione laps (Local Administrator Password Solution) per eseguire questa attività.

  • Creazione e implementazione di uno script personalizzato o di una soluzione per casualizzare le password degli account locali.

Vedi anche

Le risorse seguenti forniscono informazioni aggiuntive sulle tecnologie correlate agli account locali.