Appendice B: Account con privilegi e gruppi in Active Directory
Appendice B: Account con privilegi e gruppi in Active Directory
Gli account e i gruppi con privilegi in Active Directory sono quelli a cui vengono concessi diritti, privilegi e autorizzazioni avanzati che consentono di eseguire quasi qualsiasi azione in Active Directory e nei sistemi aggiunti a un dominio. Questa appendice inizia illustrando i diritti, i privilegi e le autorizzazioni, seguiti da informazioni sugli account e i gruppi con privilegi più elevati in Active Directory, ovvero gli account e i gruppi più potenti.
Le informazioni vengono fornite anche sugli account e i gruppi incorporati e predefiniti in Active Directory, oltre ai relativi diritti. Sebbene vengano forniti consigli di configurazione specifiche per la protezione degli account e dei gruppi con privilegi più elevati come appendici separate, questa appendice fornisce informazioni di base che consentono di identificare gli utenti e i gruppi da proteggere. È consigliabile farlo perché possono essere sfruttati da utenti malintenzionati per compromettere e persino distruggere l'installazione di Active Directory.
Diritti, privilegi e autorizzazioni in Active Directory
Le differenze tra diritti, autorizzazioni e privilegi possono essere confuse e contraddittorie, anche all'interno della documentazione di Microsoft. Questa sezione descrive alcune delle caratteristiche di ciascuno così come vengono utilizzate in questo documento. Queste descrizioni non devono essere considerate autorevoli per altre documentazioni Microsoft, perché potrebbero usare questi termini in modo diverso.
Diritti e privilegi
I diritti e i privilegi sono effettivamente le stesse funzionalità a livello di sistema concesse a entità di sicurezza come utenti, servizi, computer o gruppi. Nelle interfacce usate in genere dai professionisti IT, queste vengono in genere definite "diritti" o "diritti utente" e vengono spesso assegnate dagli oggetti Criteri di gruppo. Lo screenshot seguente mostra alcuni dei diritti utente più comuni che possono essere assegnati alle entità di sicurezza (rappresenta il criterio di gruppo predefinito dei controller di dominio in un dominio di Windows Server 2012). Alcuni di questi diritti si applicano ad Active Directory, ad esempio il diritto utente Abilitare l'attendibilità di account utente e computer per la delega, mentre altri diritti si applicano al sistema operativo Windows, ad esempio Modificare l'ora di sistema.
Nelle interfacce come l'Editor oggetti Criteri di gruppo, tutte queste capacità assegnabili vengono definite in generale diritti utente. In realtà, tuttavia, alcuni diritti utente vengono definiti a livello di codice come diritti, mentre altri vengono definiti privilegi a livello di codice. Tabella B-1: Diritti utente e privilegi fornisce alcuni dei diritti utente assegnabili più comuni e le relative costanti a livello di codice. Anche se Criteri di gruppo e altre interfacce fanno riferimento a tutti questi come diritti utente, alcuni vengono identificati a livello di codice come diritti, mentre altri sono definiti come privilegi.
Per altre informazioni su ognuno dei diritti utente elencati nella tabella seguente, usare i collegamenti nella tabella oppure vedere Guida alle minacce e alle contromisure: diritti utente nella guida Prevenzione di minacce e vulnerabilità per Windows Server 2008 R2 nel sito Microsoft TechNet. Per informazioni applicabili a Windows Server 2008, vedere Diritti utente nella documentazione Prevenzione di minacce e vulnerabilità nel sito Microsoft TechNet. Al momento della stesura di questo documento, la documentazione corrispondente per Windows Server 2012 non è ancora stata pubblicata.
Nota
Ai fini di questo documento, i termini "diritti" e "diritti utente" vengono usati per identificare diritti e privilegi, a meno che non diversamente specificato.
Tabella B-1: Diritti utente e privilegi
Autorizzazioni
Le autorizzazioni sono controlli di accesso applicati a oggetti a protezione diretta, ad esempio il file system, il Registro di sistema, il servizio e gli oggetti Active Directory. A ogni oggetto a protezione diretta è associato un elenco di controllo di accesso (ACL), che contiene voci di controllo di accesso (ACL) che concedono o negano a entità di sicurezza (utenti, servizi, computer o gruppi) la possibilità di eseguire varie operazioni sull'oggetto. Ad esempio, gli ACL per molti oggetti in Active Directory contengono ACE che consentono agli utenti autenticati di leggere informazioni generali sugli oggetti, ma non concedere loro la possibilità di leggere informazioni riservate o di modificare gli oggetti. Ad eccezione dell'account Guest integrato di ogni dominio, ogni entità di sicurezza che effettua l'accesso e viene autenticata da un controller di dominio in una foresta di Active Directory o in una foresta attendibile ha l'Identificatore di Sicurezza degli Utenti Autenticati (SID) aggiunto automaticamente al suo token di accesso per impostazione predefinita. Pertanto, indipendentemente dal fatto che un utente, un servizio o un account computer tenti di leggere le proprietà generali sugli oggetti utente in un dominio, l'operazione di lettura ha esito positivo.
Se un'entità di sicurezza tenta di accedere a un oggetto per cui non sono definite le voci ACE e che contengono un SID presente nel token di accesso dell'entità, l'entità non può accedere all'oggetto. Inoltre, se una voce ACE nell'ACL di un oggetto contiene una voce "deny" per un SID che corrisponde al token di accesso dell'utente, l'ACE "deny" in genere avrà la precedenza su un ACE "allow" in conflitto. Per altre informazioni sul controllo di accesso in Windows, vedere Controllo di accesso nel sito Web MSDN.
All'interno di questo documento, le autorizzazioni si riferiscono alle capacità concesse o negate alle entità di sicurezza sugli oggetti proteggibili. Ogni volta che si verifica un conflitto tra un diritto utente e un'autorizzazione, il diritto utente ha in genere la precedenza. Ad esempio, se un oggetto in Active Directory è stato configurato con un elenco di controllo di accesso che nega agli amministratori l'accesso in lettura e scrittura a un oggetto, un utente membro del gruppo Administrators del dominio non potrà visualizzare molte informazioni sull'oggetto. Tuttavia, poiché al gruppo Administrators viene concesso il diritto utente "Acquisizione proprietà di file o di altri oggetti", l'utente può semplicemente assumere la proprietà dell'oggetto in questione, quindi riscrivere l'ACL dell'oggetto per concedere agli amministratori il controllo completo dell'oggetto.
Per questo motivo, questo documento incoraggia l'utente a evitare di usare account e gruppi potenti per l'amministrazione quotidiana, invece di tentare di limitare le funzionalità degli account e dei gruppi. Non è possibile impedire a un utente determinato che ha accesso a credenziali potenti di usare tali credenziali per ottenere l'accesso a qualsiasi risorsa a protezione diretta.
Account e gruppi con privilegi integrati
Active Directory è progettato per facilitare la delega dell'amministrazione e il principio dei privilegi minimi nell'assegnazione di diritti e autorizzazioni. Gli utenti "normali" che dispongono di account in un dominio di Active Directory sono, per impostazione predefinita, in grado di leggere gran parte di ciò che viene archiviato nella directory, ma possono modificare solo un set di dati molto limitato all’interno della directory. Agli utenti che richiedono privilegi aggiuntivi è possibile concedere l'appartenenza a vari gruppi con privilegi incorporati nella directory in modo che possano eseguire attività specifiche correlate ai propri ruoli, ma che non possano eseguire attività non rilevanti per i propri compiti.
In Active Directory sono presenti tre gruppi predefiniti che comprendono i gruppi con privilegi più elevati nella directory, più un quarto gruppo, che è il gruppo Schema Admins (SA):
- Enterprise Admins (EA)
- Domain Admins (DA)
- Amministratori predefiniti (BA)
- Amministratori dello Schema (SA)
Il gruppo Schema Admins (SA) dispone di privilegi che, se utilizzati in modo improprio, possono danneggiare o distruggere un'intera foresta di Active Directory, ma questo gruppo è più limitato nelle sue funzionalità rispetto ai gruppi EA, DA e BA.
Oltre a questi quattro gruppi, esistono diversi account e gruppi predefiniti aggiuntivi in Active Directory, ognuno dei quali concede diritti e autorizzazioni che consentono l'esecuzione di attività amministrative specifiche. Anche se questa appendice non fornisce una discussione approfondita di ogni gruppo incorporato o predefinito in Active Directory, fornisce una tabella dei gruppi e degli account che è più probabile visualizzare nelle installazioni.
Ad esempio, se si installa Microsoft Exchange Server in una foresta Active Directory, è possibile creare account e gruppi aggiuntivi nei contenitori Predefiniti e Utenti nei domini. Questa appendice descrive solo i gruppi e gli account creati nei contenitori Predefiniti e Utenti in Active Directory, in base a ruoli e funzionalità nativi. Gli account e i gruppi creati dall'installazione del software aziendale non sono inclusi.
Amministratori Enterprise
Il gruppo Enterprise Admins (EA) si trova nel dominio radice della foresta e, per impostazione predefinita, è membro del gruppo Administrators predefinito in ogni dominio della foresta. L'account Administrator incorporato nel dominio radice della foresta è l'unico membro predefinito del gruppo EA. Agli amministratori aziendali vengono concessi diritti e autorizzazioni che consentono di influire su modifiche su scala forestale. Si tratta di modifiche che influiscono su tutti i domini nella foresta, ad esempio l'aggiunta o la rimozione di domini, la creazione di trust tra foreste o l'aumento dei livelli di funzionalità della foresta. In un modello di delega progettato e implementato correttamente, l'appartenenza EA è necessaria solo quando si costruisce per la prima volta la foresta o quando si apportano determinate modifiche a livello di foresta, ad esempio la creazione di un trust forestale in uscita.
Il gruppo EA si trova per impostazione predefinita nel contenitore Utenti nel dominio radice della foresta ed è un gruppo di sicurezza universale, a meno che il dominio radice della foresta non sia in esecuzione in modalità mista Windows 2000 Server, nel qual caso il gruppo è un gruppo di sicurezza globale. Anche se alcuni diritti vengono concessi direttamente al gruppo EA, molti dei diritti di questo gruppo vengono effettivamente ereditati dal gruppo EA perché è membro del gruppo Administrators in ogni dominio della foresta. Gli amministratori dell'organizzazione non dispongono di diritti predefiniti per workstation o server membri.
Amministratori del Dominio
Ogni dominio in una foresta ha un proprio gruppo Domain Admins (DA), che è membro del gruppo predefinito Administrators (BA) di tale dominio, oltre a un membro del gruppo Administrators locale in ogni computer aggiunto al dominio. L'unico membro predefinito del gruppo DA per un dominio è l'account amministratore predefinito per tale dominio.
I DA sono onnipotenti all'interno dei loro domini, mentre gli EA hanno privilegi su scala forestale. In un modello di delega progettato e implementato correttamente, l'appartenenza a DA deve essere necessaria solo in scenari di "break glass", che sono situazioni in cui è necessario un account con elevati livelli di privilegio in ogni computer del dominio o quando è necessario apportare determinate modifiche a livello di dominio. Anche se i meccanismi di delega nativa di Active Directory consentono la delega nella misura in cui è possibile usare gli account DA solo in scenari di emergenza, la creazione di un modello di delega efficace può richiedere molto tempo e molte organizzazioni usano applicazioni di terze parti per accelerare il processo.
Il gruppo DA è un gruppo di sicurezza globale che si trova nel contenitore Utenti per il dominio. Esiste un gruppo DA per ogni dominio nella foresta e l'unico membro predefinito di un gruppo DA è l'account amministratore predefinito del dominio. Poiché il gruppo DA di un dominio è annidato nel gruppo BA del dominio e nel gruppo Administrators locale di ogni sistema aggiunto a un dominio, gli amministratori di dominio non dispongono solo delle autorizzazioni concesse specificamente agli amministratori di dominio, ma ereditano anche tutti i diritti e le autorizzazioni concesse al gruppo Administrators del dominio e al gruppo Administrators locale in tutti i sistemi aggiunti al dominio.
Amministratori
Il gruppo predefinito degli amministratori (BA) è un gruppo locale del dominio nel contenitore predefinito di un dominio in cui sono annidati DA e EA e a questo gruppo vengono concessi molti diritti diretti e permessi nella directory e nei controller di dominio. Tuttavia, il gruppo Administrators per un dominio non dispone di privilegi sui server membri o sulle workstation. L'appartenenza al gruppo Administrators locale dei computer aggiunti a un dominio è la posizione in cui viene concesso il privilegio locale; e dei gruppi discussi, solo i DA sono membri di tutti i gruppi Administrators locali di tutti i computer aggiunti a un dominio per impostazione predefinita.
Il gruppo Administrators è un gruppo locale di dominio nel contenitore predefinito del dominio. Per impostazione predefinita, il gruppo BA di ogni dominio contiene l'account amministratore predefinito del dominio locale, il gruppo DA del dominio locale e il gruppo EA del dominio radice della foresta. Molti diritti utente in Active Directory e nei controller di dominio vengono concessi in modo specifico al gruppo Administrators, non ai gruppi EA o DA. Al gruppo BA di un dominio vengono concesse autorizzazioni di controllo completo per la maggior parte degli oggetti directory e può assumere la proprietà degli oggetti directory. Anche se ai gruppi EA e DA vengono concesse determinate autorizzazioni specifiche dell'oggetto nella foresta e nei domini, gran parte della potenza dei gruppi viene effettivamente "ereditata" dall'appartenenza ai gruppi BA.
Nota
Anche se si tratta delle configurazioni predefinite di questi gruppi con privilegi, un membro di uno dei tre gruppi può modificare la directory per ottenere l'appartenenza a uno qualsiasi degli altri gruppi. In alcuni casi è semplice, mentre in altri è più difficile, ma dal punto di vista del potenziale privilegio, tutti e tre i gruppi devono essere considerati effettivamente equivalenti.
Amministratori dello schema
Il gruppo Schema Admins (SA) è un gruppo universale nel dominio radice della foresta e ha come unico membro predefinito l'account Amministratore predefinito di quel dominio, simile al gruppo EA. Anche se l'appartenenza al gruppo SA può consentire a un utente malintenzionato di compromettere lo schema di Active Directory, che è il framework per l'intera foresta di Active Directory, le SA hanno pochi diritti predefiniti e autorizzazioni oltre lo schema.
È consigliabile gestire e monitorare attentamente l'appartenenza al gruppo SA, ma in alcuni casi questo gruppo è "meno privilegiato" rispetto ai tre gruppi con privilegi più elevati descritti in precedenza perché l'ambito del suo privilegio è molto stretto; ovvero, i contratti di servizio non dispongono di diritti amministrativi in nessun altro luogo che non sia lo schema.
Gruppi aggiuntivi incorporati e predefiniti in Active Directory
Per facilitare la delega dell'amministrazione nella directory, Active Directory viene fornito con vari gruppi incorporati e predefiniti a cui sono stati concessi diritti e autorizzazioni specifici. Questi gruppi sono descritti brevemente nella tabella seguente.
Nella tabella seguente sono elencati i gruppi incorporati e predefiniti in Active Directory. Entrambi i set di gruppi esistono per impostazione predefinita; tuttavia, i gruppi predefiniti si trovano (per impostazione predefinita) nel contenitore predefinito in Active Directory, mentre i gruppi predefiniti si trovano (per impostazione predefinita) nel contenitore Users in Active Directory. I gruppi nel contenitore predefinito sono tutti gruppi locali di dominio, mentre i gruppi nel contenitore Users sono una combinazione di gruppi Domain Local, Global e Universal, oltre a tre singoli account utente (Administrator, Guest e Krbtgt).
Oltre ai gruppi con privilegi più elevati descritti in precedenza in questa appendice, ad alcuni account e gruppi incorporati e predefiniti vengono concessi privilegi elevati e devono essere protetti e usati solo in host amministrativi sicuri. Questi gruppi e account sono disponibili nelle righe ombreggiate della tabella B-1: Gruppi e Account incorporati e predefiniti in Active Directory. Poiché ad alcuni di questi gruppi e account vengono concessi diritti e autorizzazioni che possono essere usati in modo improprio per compromettere Active Directory o controller di dominio, ad essi vengono concesse delle protezioni aggiuntive come descritto nell'Appendice C: Account protetti e gruppi in Active Directory.
Tabella B-1: account e gruppi integrati e predefiniti in Active Directory
| Account o gruppo | Contenitore predefinito, ambito e tipo del gruppo | Descrizione e diritti utente predefiniti |
|---|---|---|
| Operatori di assistenza per il controllo di accesso (Active Directory in Windows Server 2012) | Contenitore incorporato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono eseguire query in remoto sugli attributi di autorizzazione e sulle autorizzazioni per le risorse in questo computer. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo delle traversine Aumento di un insieme di lavoro di processo |
| Operatori di Account | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri possono amministrare account utente e gruppo di dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare verifica di attraversamento Incrementare un insieme di lavoro di processo |
| Account amministratore | Contenitore utenti Non un gruppo |
Account predefinito per l'amministrazione del dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Regolazione limite risorse memoria per un processo Consenti accesso locale Consenti accesso tramite Servizi Desktop remoto Eseguire il backup di file e directory Saltare la verifica di attraversamento Modificare l'ora di sistema Modificare il fuso orario Crea un file di paging Creazione oggetti globali Creazione di collegamenti simbolici Debug di programmi Abilita gli account computer e utente per essere considerati attendibili per la delega Arresto forzato di un sistema remoto Impersonare un cliente dopo l'autenticazione Aumentare il working set di un processo Aumentare la priorità di pianificazione Caricare e scaricare driver di dispositivo Accedi come processo batch Gestire log di audit e di sicurezza Modifica dei valori di ambiente firmware Eseguire attività di manutenzione del volume Profilare il singolo processo Creare il profilo delle prestazioni del sistema Rimuovi il computer dalla stazione di docking Ripristino di file e directory Arresta il sistema Acquisire la proprietà di file o di altri oggetti |
| Gruppo Amministratori | Contenitore incorporato Gruppo di sicurezza locale del dominio |
Gli amministratori hanno accesso completo e senza restrizioni al dominio. Diritti utente diretti: Accedi al computer dalla rete Regolazione limite risorse memoria per un processo Consenti accesso locale Consenti accesso tramite Servizi Desktop remoto Eseguire il backup di file e directory Ignorare il controllo della traversata Modificare l'ora di sistema Modificare il fuso orario Crea un file di paging Creazione oggetti globali Creazione di collegamenti simbolici Eseguire il debug dei programmi Abilita gli account computer e utente a essere considerati affidabili per la delega Spegnimento forzato da un sistema remoto Impersona un cliente dopo l'autenticazione Aumentare la priorità di pianificazione Caricare e scaricare i driver dei dispositivi Accedi come operazione batch Gestione file registro di controllo e di sicurezza Modifica dei valori di ambiente firmware Eseguire attività di manutenzione del volume Profilo del singolo processo Creare il profilo delle prestazioni del sistema Rimuovere il computer dalla stazione di aggancio Ripristino di file e directory Spegnere il sistema Acquisire la proprietà di file o di altri oggetti Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare il controllo di traversata Aumentare l'insieme di lavoro di un processo |
| Gruppo consentito di replica delle password per il controller di dominio di sola lettura | Contenitore degli utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono far replicare le proprie password a tutti i controller di dominio di sola lettura nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungere le workstation al dominio Ignorare il controllo traversale Incrementare l'insieme di lavoro di un processo |
| Operatori di Backup | Contenitore integrato Gruppo di sicurezza locale del dominio |
Gli operatori di backup possono ignorare le restrizioni di sicurezza solo allo scopo di eseguire il backup o il ripristino dei file. Diritti utente diretti: Consenti accesso locale Esegui il backup di file e directory Accedi come processo batch Ripristino di file e directory Spegni il sistema Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumentare il set di lavoro di un processo |
| Cert Publishers | Contenitore per utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono pubblicare i certificati nella directory. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungere workstation al dominio Ignorare controllo del percorso Aumento di un insieme di lavoro di processo |
| Accesso DCOM al servizio di certificati | Contenitore integrato Gruppo di sicurezza locale del dominio |
Se Servizi certificati è installato in un controller di dominio (non consigliato), questo gruppo concede l'accesso alla registrazione DCOM a Utenti di dominio e computer di dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare controllo incrociato Aumenta l'insieme di lavoro di un processo |
| Controller di dominio clonabili (Servizi di dominio Active Directory in Windows Server 2012 e AD DS) | Contenitore di utenti Gruppo di sicurezza globale |
I membri di questo gruppo che sono controller di dominio possono essere clonati. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare il controllo di attraversamento Incrementare l'insieme operativo di un processo |
| Operazioni di crittografia | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri sono autorizzati a eseguire operazioni di crittografia. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare il controllo di attraversamento Aumentare un insieme di lavoro di processo |
| Utenti del debugger | Non si tratta né di un gruppo predefinito né di un gruppo integrato, ma, quando presente in Active Directory Domain Services, è causa di ulteriori indagini. | La presenza di un gruppo Users debugger indica che gli strumenti di debug sono stati installati nel sistema a un certo punto, sia tramite Visual Studio, SQL, Office o altre applicazioni che richiedono e supportano un ambiente di debug. Questo gruppo consente l'accesso al debug in remoto dei computer. Quando questo gruppo esiste a livello di dominio, indica che un debugger o un'applicazione che contiene un debugger è stato installato in un controller di dominio. |
| Gruppo negato di replica password del controller di dominio di sola lettura | Contenitore degli utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo non possono far replicare le password a nessun controller di dominio di sola lettura presente nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungere workstation al dominio Ignorare il controllo di attraversamento Aumento di un insieme di lavoro per un processo |
| DHCP Administrators | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo dispongono di accesso amministrativo al servizio Server DNS. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Saltare il controllo di attraversamento. Aumentare l'insieme di lavoro di un processo |
| Utenti DHCP | Contenitore utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo dispongono di accesso in lettura al servizio Server DHCP. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare il controllo di attraversamento Aumentare l'insieme di lavoro di un processo |
| Utenti COM Distribuiti | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono avviare, attivare e usare oggetti COM distribuiti in questo computer. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungere le workstation al dominio Ignorare verifica dei percorsi Aumentare l'insieme di lavoro di un processo |
| DnsAdmins | Contenitore degli utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo dispongono di accesso amministrativo al servizio Server DNS. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Ignorare verifica trasversale Aumentare il set di lavoro di un processo |
| DnsUpdateProxy | Contenitore utenti Gruppo di sicurezza globale |
I membri di questo gruppo sono client DNS autorizzati a eseguire aggiornamenti dinamici per conto dei client che non possono eseguire aggiornamenti dinamici. I membri di questo gruppo sono in genere server DHCP. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare controllo incrociato Aumento di un insieme di lavoro di processo |
| Amministratori di Dominio | Contenitore utenti Gruppo di sicurezza globale |
Amministratori designati del dominio; Domain Admins è membro del gruppo Administrators locale di ogni computer aggiunto al dominio e riceve diritti e autorizzazioni concessi al gruppo Administrators locale, oltre al gruppo Administrators del dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Regolazione limite risorse memoria per un processo Consenti accesso locale Consenti accesso tramite Servizi Desktop remoto Effettua un backup di file e directory Ignorare controllo incrociato Modificare l'ora di sistema Modificare il fuso orario Crea un file di paging Creazione oggetti globali Creazione di collegamenti simbolici Debug dei programmi Consenti agli account computer e utente di essere affidabili per la delega. Arresto forzato di un sistema remoto Impersonare un client dopo l'autenticazione Aumento della memoria di lavoro di un processo Aumentare la priorità di pianificazione Caricare e scaricare driver di dispositivo Accedi come processo batch Gestire i registri di controllo e di sicurezza Modifica dei valori di ambiente firmware Eseguire attività di manutenzione del volume Profilare il singolo processo Profilare le prestazioni del sistema Rimuovere il computer dalla docking station Ripristino di file e directory Spegni il sistema Acquisire la proprietà di file o di altri oggetti |
| Computer del dominio | Contenitore utenti Gruppo di sicurezza globale |
Tutte le workstation e i server aggiunti al dominio sono per impostazione predefinita membri di questo gruppo. Diritti utente diretti predefiniti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungere workstation al dominio Ignorare verifica traversale Aumenta l'insieme di lavoro di un processo |
| Controller di dominio | Contenitore degli utenti Gruppo di sicurezza globale |
Tutti i controller di dominio nel dominio. Nota: i controller di dominio non sono membri del gruppo Domain Computers. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare il controllo del percorso traversale Aumento di un working set di processo |
| Ospiti del dominio | Contenitore utenti Gruppo di sicurezza globale |
Tutti i guest nel dominio Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare verifica di attraversamento Aumentare il set di lavoro di un processo |
| Utenti del Dominio | Contenitore utenti Gruppo di sicurezza globale |
Tutti gli utenti nel dominio Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Ignorare verifica di attraversamento Aumento dell'insieme di lavoro di un processo |
| Enterprise Admins (esiste solo nel dominio radice della foresta) | Contenitore utenti Gruppo di sicurezza universale |
Gli amministratori dell'organizzazione dispongono delle autorizzazioni per modificare le impostazioni di configurazione a livello di foresta; Enterprise Admins è membro del gruppo Administrators di ogni dominio e riceve diritti e autorizzazioni concessi a tale gruppo. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Regolazione limite risorse memoria per un processo Consenti accesso locale Consenti accesso tramite Servizi Desktop remoto Eseguire il backup di file e directory Ignorare il controllo traversale Modificare l'ora di sistema Modificare il fuso orario Crea un file di paging Creazione oggetti globali Creazione di collegamenti simbolici Debug di programmi Abilitare gli account computer e utente per essere attendibili per la delega Spegnimento forzato da un sistema remoto Impersonare un client dopo l'autenticazione Incrementare un working set di un processo Aumentare la priorità di pianificazione Caricare e scaricare driver di dispositivo Accedere come attività batch Gestire log di controllo e sicurezza Modifica dei valori di ambiente firmware Eseguire attività di manutenzione del volume Profilare il singolo processo Profilare le prestazioni del sistema Rimuovere il computer dalla docking station Ripristino di file e directory Spegni il sistema Acquisire la proprietà di file o di altri oggetti |
| Controller di dominio di sola lettura aziendale | Contenitore utenti Gruppo di sicurezza universale |
Questo gruppo contiene gli account per tutti i controller di dominio di sola lettura nella foresta. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare verifica del percorso Aumento del set di lavoro di un processo |
| Lettori di registri eventi | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono leggere i registri eventi nei controller di dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Ignorare il controllo traversale Incremento di un insieme di lavoro per il processo |
| Proprietari autori criteri di gruppo | Contenitore di utenti Gruppo di sicurezza globale |
I membri di questo gruppo possono creare e modificare oggetti Criteri di gruppo nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare il controllo della traversa Aumento di un insieme di lavoro del processo |
| Ospite | Contenitore utenti Non un gruppo |
Si tratta dell'unico account in un dominio di Active Directory Domain Services che non dispone del SID Utenti autenticati aggiunto al token di accesso. Pertanto, tutte le risorse configurate per concedere l'accesso al gruppo Users autenticati non saranno accessibili a questo account. Questo comportamento non è vero per i membri dei gruppi Domain Guest e Guest, ma i membri di tali gruppi hanno il SID Utenti autenticati aggiunto ai token di accesso. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Ignorare controllo percorso Aumentare il set di lavoro di un processo |
| Ospiti | Contenitore integrato Gruppo di sicurezza locale del dominio |
Gli utenti guest hanno lo stesso accesso ai membri del gruppo Users per impostazione predefinita, ad eccezione dell'account Guest, che è ulteriormente limitato come descritto in precedenza. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare il controllo di percorso Incremento del 'working set' di un processo |
| Amministratori di Hyper-V (Windows Server 2012) | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo hanno accesso completo e senza restrizioni a tutte le funzionalità di Hyper-V. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare il controllo di attraversamento Aumentare l'insieme di lavoro di un processo |
| IIS_IUSRS | Contenitore integrato Gruppo di sicurezza locale del dominio |
Gruppo predefinito utilizzato da Internet Information Services. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumentare un insieme di lavoro di un processo |
| Costruttori di forest trust in ingresso (esistono solo nel dominio radice della foresta) | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono creare trust unidirezionali in ingresso per questa foresta. (La creazione di trust di foresta in uscita è riservata agli amministratori dell'impresa) Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Ignorare controllo incrociato Aumento del set di lavoro di un processo |
| Krbtgt | Contenitore utenti Non un gruppo |
L'account Krbtgt è l'account del servizio per il Centro distribuzione chiavi Kerberos nel dominio. Questo account ha accesso alle credenziali di tutti gli account archiviati in Active Directory. Questo account è disabilitato per impostazione predefinita e non deve mai essere abilitato Diritti utente: N/A |
| Operatori di Configurazione della Rete | Contenitore integrato Gruppo di sicurezza locale del dominio |
Ai membri di questo gruppo vengono concessi privilegi che consentono di gestire la configurazione delle funzionalità di rete. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Bypassare il controllo dei percorsi Incremento di un set di lavoro processo |
| Utenti del Registro delle Prestazioni | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono pianificare la registrazione dei contatori delle prestazioni, abilitare i provider di traccia e raccogliere le tracce degli eventi in locale e tramite accesso remoto al computer. Diritti utente diretti: Esegui come operazione batch Diritti utente ereditati: Accedi al computer dalla rete Aggiungere le workstation al dominio Ignorare controllo incrociato Aumentare un working set di processo |
| Utenti del monitoraggio delle prestazioni | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono accedere ai dati dei contatori delle prestazioni in locale e in remoto. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare il controllo di attraversamento Aumenta il set di lavoro di un processo |
| Accesso compatibile precedente a Windows 2000 | Contenitore integrato Gruppo di sicurezza locale del dominio |
Questo gruppo esiste per garantire la compatibilità con le versioni precedenti ai sistemi operativi precedenti a Windows 2000 Server e consente ai membri di leggere le informazioni sull'utente e sul gruppo nel dominio. Diritti utente diretti: Accedi al computer dalla rete Ignorare verifica del passaggio Diritti utente ereditati: Aggiunta di workstation al dominio Aumentare il working set di un processo |
| Operatori di stampa | Contenitore incorporato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono amministrare le stampanti di dominio. Diritti utente diretti: Consenti accesso locale Caricare e scaricare driver di dispositivo Spegnere il sistema Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Ignorare il controllo trasversale Aumento dell'insieme di lavoro di un processo |
| Server RAS e IAS | Contenitore di utenti Gruppo di sicurezza locale del dominio |
I server in questo gruppo possono leggere le proprietà di accesso remoto negli account utente nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Saltare controllo trasversale Aumentare l'insieme di lavoro di un processo |
| Servizi Desktop remoto Server endpoint (Windows Server 2012) | Contenitore integrato Gruppo di sicurezza locale del dominio |
I server in questo gruppo eseguono macchine virtuali e ospitano sessioni in cui vengono eseguiti i programmi RemoteApp e i desktop virtuali personali. Questo gruppo deve essere popolato nei server che eseguono il Broker di connessione RD. I server Host sessione Desktop remoto e i server Host di virtualizzazione Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Ignorare controllo incrociato Aumentare un insieme di lavoro di processo |
| Server di gestione RDS (Windows Server 2012) | Contenitore integrato Gruppo di sicurezza locale del dominio |
I server in questo gruppo possono eseguire azioni amministrative di routine sui server che eseguono Servizi Desktop remoto. Questo gruppo deve essere popolato in tutti i server in una distribuzione di Servizi Desktop remoto. I server che eseguono il servizio di Gestione centrale Desktop remoto devono essere inclusi in questo gruppo. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumenta l'insieme di lavoro di un processo |
| Server di Accesso Remoto RDS (Servizi Desktop Remoto) (Windows Server 2012) | Contenitore integrato Gruppo di sicurezza locale del dominio |
I server in questo gruppo consentono agli utenti di programmi RemoteApp e desktop virtuali personali di accedere a queste risorse. Nelle distribuzioni con connessione Internet, questi server vengono in genere distribuiti in una rete perimetrale. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Gateway RD e i server Accesso Web RD utilizzati nella distribuzione devono essere in questo gruppo. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare controllo incrociato Aumento di un insieme di lavoro di processo |
| Controller di dominio di sola lettura | Contenitore degli utenti Gruppo di sicurezza globale |
Questo gruppo contiene tutti i controller di dominio di sola lettura nel dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare il controllo di attraversamento Aumento di un insieme di lavoro di un processo |
| Utenti desktop remoto | Contenitore integrato Gruppo di sicurezza locale del dominio |
Ai membri di questo gruppo viene concesso il diritto di accedere in modalità remota tramite RDP. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare il controllo di attraversamento Aumentare il working set di un processo |
| Utenti di gestione remota (Windows Server 2012) | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono accedere alle risorse di Strumentazione di gestione Windows (WMI) attraverso protocolli di gestione (ad esempio WS-Management tramite il servizio Gestione remota Windows). Questo vale solo per gli spazi dei nomi WMI che concedono l'accesso all'utente. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiunta di workstation al dominio Ignorare verifica trasversale Aumento di un set di lavoro di processo |
| Replicator | Contenitore integrato Gruppo di sicurezza locale del dominio |
Supporta la replica di file legacy di vecchia generazione in un dominio. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Saltare la verifica di attraversamento Incremento dell'insieme di lavoro di un processo |
| Amministratori dello schema (esistono solo nel dominio radice della foresta) | Contenitore utenti Gruppo di sicurezza universale |
Gli amministratori dello schema sono gli unici utenti che possono apportare modifiche allo schema di Active Directory, e solo se lo schema è abilitato per la scrittura. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare il controllo di attraversamento Incremento del set di lavoro di un processo |
| Operatori del server | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono amministrare i controller di dominio. Diritti utente diretti: Consenti accesso locale Esegui il backup di file e directory Modificare l'ora di sistema Modificare il fuso orario Spegnimento forzato da un sistema remoto Ripristino di file e directory Arresta il sistema Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Omettere il controllo di attraversamento Aumento del set di lavoro di un processo |
| Server di licenze Terminal Server | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono aggiornare gli account utente in Active Directory con informazioni sul rilascio delle licenze, allo scopo di tenere traccia e segnalare l'utilizzo di TS per utente CAL Diritti utente diretti predefiniti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi le workstation al dominio Saltare il controllo di traverso Incremento dell'insieme di lavoro di un processo |
| Utenti | Contenitore integrato Gruppo di sicurezza locale del dominio |
Gli utenti dispongono delle autorizzazioni che consentono di leggere molti oggetti e attributi in Active Directory, anche se non possono modificarne la maggior parte. Gli utenti non possono apportare modifiche accidentali o intenzionali a livello di sistema e possono eseguire la maggior parte delle applicazioni. Diritti utente diretti: Aumentare l'insieme di lavoro di un processo Diritti utente ereditati: Accedi al computer dalla rete Aggiungere workstation al dominio Saltare il controllo di attraversamento |
| Gruppo di accesso autorizzato di Windows | Contenitore integrato Gruppo di sicurezza locale del dominio |
I membri di questo gruppo hanno accesso all'attributo tokenGroupsGlobalAndUniversal calcolato negli oggetti User Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare controllo incrociato Aumenta il set di lavoro di un processo |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | Contenitore di utenti Gruppo di sicurezza locale del dominio |
I membri di questo gruppo possono accedere alle risorse della Strumentazione di gestione Windows (WMI) tramite protocolli di gestione (come WS-Management attraverso il servizio Gestione remota di Windows). Questo vale solo per gli spazi dei nomi WMI che concedono l'accesso all'utente. Diritti utente diretti: Nessuno Diritti utente ereditati: Accedi al computer dalla rete Aggiungi workstation al dominio Ignorare il controllo di attraversamento Incrementare l'insieme di lavoro di un processo |