Condividi tramite


Gruppi di sicurezza di Active Directory

Informazioni sui gruppi di sicurezza predefiniti di Active Directory, sull'ambito del gruppo e sulle funzioni del gruppo.

Che cos'è un gruppo di sicurezza in Active Directory?

Active Directory ha due forme di entità di sicurezza comuni: account utente e account computer. Questi account rappresentano un'entità fisica che sia una persona o un computer. Un account utente può essere usato anche come account di servizio dedicato per alcune applicazioni.

I gruppi di sicurezza sono un modo per raccogliere account utente, account computer e altri gruppi in unità gestibili.

Nel sistema operativo Windows Server, diversi account predefiniti e gruppi di sicurezza sono preconfigurati con i diritti e le autorizzazioni appropriati per eseguire attività specifiche. In Active Directory le responsabilità amministrative sono separate in due tipi di amministratori:

  • Amministratori del servizio: responsabile della gestione e della distribuzione di Active Directory Domain Services (AD DS), inclusa la gestione dei controller di dominio e la configurazione di Active Directory Domain Services.

  • Amministratori dei dati: responsabile della gestione dei dati archiviati in Servizi di dominio Active Directory e nei server membri del dominio e nelle workstation.

Funzionamento dei gruppi di sicurezza di Active Directory

Usare i gruppi per raccogliere account utente, account computer e altri gruppi in unità gestibili. L'uso di gruppi anziché con singoli utenti consente di semplificare la manutenzione e l'amministrazione della rete.

Active Directory ha due tipi di gruppi:

  • Gruppi di sicurezza: usare per assegnare autorizzazioni alle risorse condivise.

  • Gruppi di distribuzione: usare per creare liste di distribuzione di posta elettronica.

Gruppi di sicurezza

I gruppi di sicurezza possono offrire un modo efficiente per assegnare l'accesso alle risorse nella rete. È possibile utilizzare i gruppi di sicurezza per eseguire le operazioni seguenti:

  • Assegnare i diritti utente ai gruppi di sicurezza in Active Directory.

    Assegnare i diritti utente a un gruppo di sicurezza per determinare quali operazioni possono eseguire i membri di quel gruppo all'interno dell'ambito di un dominio o di una foresta. I diritti utente vengono assegnati automaticamente ad alcuni gruppi di sicurezza durante l'installazione di Active Directory per consentire agli amministratori di definire il ruolo amministrativo di un utente nel dominio.

    Ad esempio, un utente aggiunto al gruppo Backup Operators in Active Directory ha la possibilità di eseguire il backup e il ripristino di file e directory che si trovano in ogni controller di dominio nel dominio. L'utente può completare queste azioni perché, per impostazione predefinita, i diritti utente File di backup e directory e Ripristina file e directory vengono automaticamente assegnati al gruppo Operatori di backup. Pertanto, i membri di questo gruppo ereditano i diritti utente assegnati a tale gruppo.

    È possibile usare Criteri di gruppo per assegnare i diritti utente ai gruppi di sicurezza per delegare attività specifiche. Per altre informazioni sull'uso di Criteri di gruppo, vedere Assegnazione diritti utente.

  • Assegnare autorizzazioni per le risorse ai gruppi di sicurezza.

    Le autorizzazioni si differenziano dai diritti utente. Le autorizzazioni vengono assegnate a un gruppo di sicurezza per una risorsa condivisa. Le autorizzazioni definiscono chi può accedere alla risorsa e il livello di accesso, ad esempio Controllo completo o Lettura. Alcune autorizzazioni impostate sugli oggetti dominio vengono assegnate automaticamente per attribuire vari livelli di accesso ai gruppi di sicurezza predefiniti, ad esempio il gruppo Account Operators o Domain Admins.

    I gruppi di sicurezza sono elencati in Elenchi di controllo di accesso discrezionale (DACL) che definiscono le autorizzazioni per risorse e oggetti. Quando gli amministratori assegnano autorizzazioni per risorse come condivisioni file o stampanti, devono assegnare tali autorizzazioni a un gruppo di sicurezza anziché a singoli utenti. Le autorizzazioni vengono assegnate una sola volta al gruppo anziché più volte a ogni singolo utente. Ogni account aggiunto a un gruppo riceve i diritti assegnati a tale gruppo in Active Directory. L'utente riceve le autorizzazioni definite per tale gruppo.

È possibile usare un gruppo di sicurezza come entità di posta elettronica. L'invio di un messaggio di posta elettronica al gruppo di sicurezza determina l'invio del messaggio a tutti i membri del gruppo.

Gruppi di distribuzione

È possibile usare i gruppi di distribuzione solo per inviare messaggi di posta elettronica alle raccolte di utenti usando un'applicazione di posta elettronica come Exchange Server. I gruppi di distribuzione non sono abilitati per la sicurezza, quindi non è possibile includerli in DACL.

Group scope

Ogni gruppo ha un ambito che identifica il campo di applicazione del gruppo nell'albero o nella foresta di dominio. L'ambito di un gruppo definisce la posizione in cui è possibile concedere le autorizzazioni di rete per il gruppo. Active Directory definisce i tre ambiti di gruppo seguenti:

  • Universale

  • Generale

  • Locale di dominio

Nota

Oltre a questi tre ambiti, i gruppi predefiniti nel contenitore Builtin hanno un ambito di gruppo Builtin Local. Non è possibile modificare questo ambito di gruppo e il tipo di gruppo.

La tabella seguente descrive i tre ambiti di gruppo e il relativo funzionamento come gruppi di sicurezza:

Ambito Membri possibili Conversione dell'ambito Può concedere autorizzazioni Possibile membro di
Universale Account di qualsiasi dominio nella stessa foresta

Gruppi globali di qualsiasi dominio nella stessa foresta

Altri gruppi universali di qualsiasi dominio nella stessa foresta

Può essere convertito nell'ambito locale del dominio se il gruppo non è membro di un altro gruppo universale

Può essere convertito nell'ambito globale se il gruppo non contiene altri gruppi universali

In qualsiasi dominio nella stessa foresta o foreste attendibili Altri gruppi universali nella stessa foresta

Gruppi locali di dominio nella stessa foresta o foreste attendibili

Gruppi locali nei computer nella stessa foresta o foreste attendibili

Generale Account dello stesso dominio

Altri gruppi globali dello stesso dominio

Può essere convertito nell'ambito universale se il gruppo non è membro di un altro gruppo globale In qualsiasi dominio nella stessa foresta, oppure domini o foreste attendibili Gruppi universali di qualsiasi dominio nella stessa foresta

Altri gruppi globali dello stesso dominio

Gruppi locali di dominio da qualsiasi dominio nella stessa foresta o da qualsiasi dominio attendibile

Locale di dominio Account di qualsiasi dominio o di qualsiasi dominio attendibile

Gruppi globali da qualsiasi dominio o da qualsiasi dominio attendibile

Gruppi universali di qualsiasi dominio nella stessa foresta

Altri gruppi di dominio locali dello stesso dominio

Account, gruppi globali e gruppi universali di altre foreste e da domini esterni

Può essere convertito nell'ambito universale se il gruppo non contiene altri gruppi locali di dominio All'interno dello stesso dominio Altri gruppi di dominio locali dello stesso dominio

Gruppi locali nei computer nello stesso dominio, esclusi i gruppi predefiniti con identificatori di sicurezza noti (SID)

Gruppi di identità speciali

Un gruppo di identità speciale è dove alcune identità speciali vengono raggruppate. I gruppi di identità speciali non dispongono di appartenenze specifiche che è possibile modificare, ma possono rappresentare utenti diversi in momenti diversi a seconda delle circostanze. Alcuni di questi gruppi includono Creator Owner, Batch e Authenticated User.

Per altre informazioni, vedere Gruppi di identità speciali.

Gruppi di sicurezza predefiniti

I gruppi predefiniti, ad esempio il gruppo Domain Admins, sono gruppi di sicurezza creati automaticamente durante la creazione di un dominio Active Directory. È possibile utilizzare i gruppi predefiniti per controllare l'accesso alle risorse condivise e delegare ruoli di amministrazione specifici a livello di dominio.

A molti gruppi predefiniti viene assegnato automaticamente un insieme di diritti utente che autorizza i membri del gruppo a eseguire azioni specifiche in un dominio, quali l'accesso a un sistema locale o il backup di file e cartelle. Un membro del gruppo Backup Operators ha, ad esempio, il diritto di eseguire operazioni di backup per tutti i controller di dominio nel dominio.

Quando si aggiunge un utente a un gruppo, l'utente riceve tutti i diritti utente e tutte le autorizzazioni assegnate al gruppo per qualsiasi risorsa condivisa.

I gruppi predefiniti si trovano nel contenitore Builtin e nel contenitore Users in Active Directory Users and Computers. Il contenitore Builtin include gruppi definiti con l'ambito Domain Local. Il contenitore Users include i gruppi definiti con ambito globale e quelli definiti con ambito locale di dominio. È possibile spostare i gruppi che si trovano in questi contenitori in altri gruppi o unità organizzative all'interno del dominio, ma non in altri domini.

Alcuni dei gruppi amministrativi elencati in questo articolo e tutti i membri di questi gruppi sono protetti da un processo in background che verifica periodicamente e applica un descrittore di sicurezza specifico. Questo descrittore è una struttura di dati che contiene le informazioni sulla sicurezza associate a un oggetto protetto. Questo processo assicura che qualunque tentativo non autorizzato di modificare il descrittore di sicurezza in uno degli account amministrativi o dei gruppi venga sovrascritto con le impostazioni protette.

Questo descrittore di sicurezza si trova nell'oggetto AdminSDHolder. Se si vogliono modificare le autorizzazioni per uno dei gruppi di amministratori dei servizi o per uno dei relativi account membri, è necessario modificare il descrittore di sicurezza nell'oggetto AdminSDHolder in modo che venga applicato in modo coerente. Prestare attenzione quando si apportano queste modifiche, perché vengono modificate di conseguenza anche le impostazioni predefinite applicate a tutti gli account amministrativi protetti.

Gruppi di sicurezza di Active Directory predefiniti

L'elenco seguente fornisce descrizioni dei gruppi predefiniti che si trovano nei contenitori Builtin e Users in Active Directory:

Operatori di assistenza per il controllo di accesso

I membri di questo gruppo possono eseguire query in remoto sugli attributi di autorizzazione e sulle autorizzazioni per le risorse nel computer.

Il gruppo Operatori di assistenza controllo di accesso si applica al sistema operativo Windows Server elencato nella tabella Gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-579
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Account Operators

Il gruppo Account Operators concede privilegi limitati di creazione dell'account a un utente. I membri di questo gruppo possono creare e modificare la maggior parte dei tipi di account, inclusi gli account per gli utenti, i gruppi locali e i gruppi globali. I membri del gruppo possono accedere localmente ai controller di dominio.

I membri del gruppo Account Operators non possono gestire l'account utente amministratore, gli account utente degli amministratori o i gruppi Administrators, Server Operators, Account Operators, Backup Operators o Print Operators. I membri di questo gruppo non possono modificare i diritti utente.

Il gruppo Account Operators si applica al sistema operativo Windows Server nell'elenco Gruppi di sicurezza di Active Directory predefiniti.

Nota

Per impostazione predefinita, questo gruppo predefinito non ha membri. Il gruppo può creare e gestire utenti e gruppi nel dominio, inclusa la propria appartenenza e quella del gruppo Server Operators. Questo gruppo è considerato un gruppo di amministratori del servizio perché può modificare i Server Operators, che a loro volta possono modificare le impostazioni del controller di dominio. Come procedura consigliata, lasciare vuota l'appartenenza a questo gruppo e non usarla per alcuna amministrazione delegata. Questo gruppo non può essere rinominato, eliminato o rimosso.

Attributo Valore
SID/RID noto S-1-5-32-548
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Consenti accesso in locale: SeInteractiveLogonRight

Amministratori

I membri del gruppo Administrators hanno accesso completo e senza restrizioni al computer. Se il computer viene alzato di livello a un controller di dominio, i membri del gruppo Administrators hanno accesso senza restrizioni al dominio.

Il gruppo Administrators si applica al sistema operativo Windows Server nell'elenco Gruppi di sicurezza di Active Directory predefiniti.

Nota

Il gruppo Administrators include funzionalità predefinite che offrono ai membri il controllo completo sul sistema. Questo gruppo non può essere rinominato, eliminato o rimosso. Questo gruppo predefinito controlla l'accesso a tutti i controller di dominio nel dominio e può modificare l'appartenenza di tutti i gruppi amministrativi. I membri dei gruppi seguenti possono modificare l'appartenenza al gruppo Administrators: il servizio predefinito Administrators, Domain Admins nel dominio e Enterprise Admins. Questo gruppo ha il privilegio speciale di assumere la proprietà di qualsiasi oggetto nella directory o di qualsiasi risorsa in un controller di dominio. Questo account è considerato un gruppo di amministratori del servizio perché i relativi membri hanno accesso completo ai controller di dominio nel dominio.

Questo gruppo di sicurezza include le modifiche seguenti a partire da Windows Server 2008:

Attributo Valore
SID/RID noto S-1-5-32-544
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Administrator, Domain Admins, Enterprise Admins
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Regolazione limite risorse memoria per un processo: SeIncreaseQuotaPrivilege

Accedere al computer dalla rete: SeNetworkLogonRight

Consenti accesso in locale: SeInteractiveLogonRight

Consenti accesso tramite Servizi Desktop remoto: SeRemoteInteractiveLogonRight

Backup di file e directory: SeBackupPrivilege

Ignorare controllo incrociato: (SeChangeNotifyPrivilege).

Modificare l'ora di sistema: SeSystemTimePrivilege

Modificare il fuso orario: SeTimeZonePrivilege

Creare un file di pagina: SeCreatePagefilePrivilege

Creare oggetti globali: SeCreateGlobalPrivilege

Creare collegamenti simbolici: SeCreateSymbolicLinkPrivilege

Programmi di debug: SeDebugPrivilege

Impostazione account computer ed utente a tipo trusted per la delega: SeEnableDelegationPrivilege

Forzare l'arresto da un sistema remoto: SeRemoteShutdownPrivilege

Rappresentare un client dopo l'autenticazione: SeImpersonatePrivilege

Aumentare la priorità di pianificazione: SeIncreaseBasePriorityPrivilege

Caricare e scaricare i driver di dispositivo: SeLoadDriverPrivilege

Accesso come processo batch: SeBatchLogonRight

Gestire il controllo e i log di sicurezza: SeSecurityPrivilege

Modificare i valori dell'ambiente firmware: SeSystemEnvironmentPrivilege

Eseguire attività di manutenzione del volume: SeManageVolumePrivilege

Profilo prestazioni del sistema: SeSystemProfilePrivilege

Profilo singolo processo: SeProfileSingleProcessPrivilege

Rimuovi computer dalla stazione di ancoraggio: SeUndockPrivilege

Ripristinare file e directory: SeRestorePrivilege

Arrestare il sistema: SeShutdownPrivilege

Acquisire la proprietà di file o altri oggetti: SeTakeOwnershipPrivilege

Replica password del controller di dominio di sola lettura consentita

Lo scopo di questo gruppo di sicurezza è gestire i criteri di replica delle password del controller di dominio di sola lettura. Questo gruppo non ha membri per impostazione predefinita e determina la condizione che i nuovi controller di dominio di sola lettura non memorizzano nella cache le credenziali utente. Il gruppo di replica password del controller di dominio di sola lettura contiene vari account con privilegi elevati e gruppi di sicurezza. Il gruppo Replica password controller di dominio di sola lettura ha sostituito il gruppo di replica password di controller di dominio di sola lettura consentito.

Il gruppo di replica password controller di dominio di sola lettura consentito si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-571
Digita Locale di dominio
Contenitore predefinito CN=Users DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Backup Operators

I membri del gruppo Backup Operators possono eseguire il backup e il ripristino di tutti i file in un computer, indipendentemente dalle autorizzazioni che proteggono tali file. Gli operatori di backup possono anche accedere e arrestare il computer. Questo gruppo non può essere rinominato, eliminato o rimosso. Per impostazione predefinita, questo gruppo predefinito non ha membri e può eseguire operazioni di backup e ripristino nei controller di dominio. I membri dei gruppi seguenti possono modificare l'appartenenza al gruppo Backup Operators: amministratori dei servizi predefiniti, Domain Admins nel dominio ed Enterprise Admins. I membri del gruppo Backup Operators non possono modificare l'appartenenza di alcun gruppo amministrativo. Anche se i membri di questo gruppo non possono modificare le impostazioni del server o modificare la configurazione della directory, dispongono delle autorizzazioni necessarie per sostituire i file (inclusi i file del sistema operativo) nei controller di dominio. Poiché i membri di questo gruppo possono sostituire i file nei controller di dominio, sono considerati amministratori dei servizi.

Il gruppo Backup Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-551
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Consenti accesso in locale: SeInteractiveLogonRight

Backup di file e directory: SeBackupPrivilege

Accesso come processo batch: SeBatchLogonRight

Ripristinare file e directory: SeRestorePrivilege

Arrestare il sistema: SeShutdownPrivilege

Accesso DCOM al servizio certificati

I membri di questo gruppo possono connettersi alle autorità di certificazione nell'organizzazione.

Il gruppo di accesso DCOM del servizio certificati si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-<domain>-574
Digita Locale di dominio
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Cert Publishers

I membri del gruppo Cert Publishers sono autorizzati a pubblicare i certificati per gli oggetti Utente in Active Directory.

Il gruppo Cert Publishers si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-517
Digita Locale di dominio
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Replica della password del controller di dominio di sola lettura negata
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Controller di dominio clonabili

I membri del gruppo Controller di dominio clonabili che sono controller di dominio possono essere clonati. In Windows Server 2012 R2 e Windows Server 2012 è possibile distribuire controller di dominio copiando un controller di dominio virtuale esistente. In un ambiente virtuale non è più necessario distribuire ripetutamente un'immagine del server preparata tramite Sysprep.exe, promuovere il server in un controller di dominio e quindi completare più requisiti di configurazione per la distribuzione di ogni controller di dominio ( inclusa l'aggiunta del controller di dominio virtuale a questo gruppo di sicurezza).

Per altre informazioni, vedere Virtualizzazione sicura di Dominio di Active Directory Services (AD DS)

Attributo Valore
SID/RID noto S-1-5-21-<domain>-522
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Operazioni di crittografia

I membri di questo gruppo sono autorizzati a eseguire operazioni di crittografia. Questo gruppo di sicurezza è stato aggiunto in Windows Vista Service Pack 1 (SP1) per configurare Windows Firewall per IPsec in modalità Criteri comuni.

Il gruppo Cryptographic Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Questo gruppo di sicurezza è stato introdotto in Windows Vista SP1 e non è stato modificato nelle versioni successive.

Attributo Valore
SID/RID noto S-1-5-32-569
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Replica della password del controller di dominio di sola lettura negata

Le password dei membri del gruppo di replica password del controller di dominio di sola lettura negato non possono essere replicate in alcun controller di dominio di sola lettura.

Lo scopo di questo gruppo di sicurezza è gestire i criteri di replica delle password del controller di dominio di sola lettura. Questo gruppo contiene vari account con privilegi elevati e gruppi di sicurezza. Il gruppo Replica password controller di dominio di sola lettura ha sostituito il gruppo di replica password di controller di dominio di sola lettura consentito.

Questo gruppo di sicurezza include le modifiche seguenti a partire da Windows Server 2008:

  • Windows Server 2012 ha modificato i membri predefiniti in modo da includere Cert Publishers.
Attributo Valore
SID/RID noto S-1-5-21-<domain>-572
Digita Locale di dominio
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Cert Publishers

Domain Admins

Controller di dominio

Enterprise Admins

Proprietari autori criteri di gruppo

Controller di dominio di sola lettura

Schema Admins

Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Proprietari di dispositivi

Quando il gruppo Proprietari dispositivi non ha membri, è consigliabile non modificare la configurazione predefinita per questo gruppo di sicurezza. La modifica della configurazione predefinita potrebbe ostacolare scenari futuri che si basano su questo gruppo. Il gruppo Proprietari di dispositivi attualmente non viene usato in Windows.

Il gruppo Proprietari di dispositivi si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-583
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? È possibile spostare il gruppo, ma non è consigliabile
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Consenti accesso in locale: SeInteractiveLogonRight

Accedere al computer dalla rete: SeNetworkLogonRight

Ignorare controllo incrociato: (SeChangeNotifyPrivilege).

Modificare il fuso orario: SeTimeZonePrivilege

DHCP Administrators

I membri del gruppo Amministratori DHCP possono creare, eliminare e gestire aree diverse dell'ambito del server, inclusi i diritti di backup e ripristino del database DHCP (Dynamic Host Configuration Protocol). Anche se questo gruppo dispone di diritti amministrativi, non fa parte del gruppo Administrators perché questo ruolo è limitato ai servizi DHCP.

Il gruppo Amministratori DHCP si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>
Digita Locale di dominio
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Utenti
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? È possibile spostare il gruppo, ma non è consigliabile
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Utenti DHCP

I membri del gruppo Utenti DHCP possono vedere quali ambiti sono attivi o inattivi, vedere quali indirizzi IP sono assegnati e visualizzare i problemi di connettività se il server DHCP non è configurato correttamente. Questo gruppo è limitato all'accesso in sola lettura al server DHCP.

Il gruppo Utenti DHCP si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>
Digita Locale di dominio
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Utenti
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? È possibile spostare il gruppo, ma non è consigliabile
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Distributed COM Users

I membri del gruppo Distributed COM Users possono avviare, attivare e usare oggetti COM distribuiti nel computer. COM (Component Object Model) è un sistema orientato all'oggetto, distribuito e indipendente dalla piattaforma per la creazione di componenti software binari in grado di interagire. Distributed Component Object Model (DCOM) consente la distribuzione delle applicazioni tra posizioni che hanno più senso per l'utente e per l'applicazione. Questo gruppo viene visualizzato come SID fino a quando il controller di dominio non viene fatto diventare il controller di dominio primario e mantiene il master operazioni (detto anche il ruolo operazioni a master singolo flessibile o FSMO).

Il gruppo Distributed COM Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-562
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

DnsUpdateProxy

I membri del gruppo DnsUpdateProxy sono client DNS. È consentito eseguire aggiornamenti dinamici per conto di altri client, ad esempio per i server DHCP. Un server DNS può sviluppare record di risorse non aggiornati quando un server DHCP è configurato per registrare dinamicamente i record di risorse host (A) e puntatore (PTR) per conto dei client DHCP tramite l'aggiornamento dinamico. L'aggiunta di client a questo gruppo di sicurezza riduce questo scenario.

Tuttavia, per proteggersi da record non protetti o per consentire ai membri del gruppo DnsUpdateProxy di registrare i record nelle zone che consentono solo aggiornamenti dinamici protetti, è necessario creare un account utente dedicato e configurare i server DHCP per eseguire gli aggiornamenti dinamici DNS usando le credenziali (nome utente, password e dominio) di questo account. Più server DHCP possono usare le credenziali di un account utente dedicato. Questo gruppo esiste solo se il ruolo del server DNS è o è stato installato in un controller di dominio nel dominio.

Per altre informazioni, vedere Proprietà dei record DNS e gruppo DnsUpdateProxy.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-<variable RI>
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

DnsAdmins

I membri del gruppo DnsAdmins hanno accesso alle informazioni DNS di rete. Le autorizzazioni predefinite sono Consenti: Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figlio, Autorizzazioni speciali. Questo gruppo esiste solo se il ruolo del server DNS è o è stato installato in un controller di dominio nel dominio.

Per altre informazioni sulla sicurezza e sul DNS, vedere DNSSEC in Windows Server 2012.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-<variable RI>
Digita Builtin Local
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Domain Admins

I membri del gruppo di sicurezza Domain Admins sono autorizzati ad amministrare il dominio. Per impostazione predefinita, il gruppo Domain Admins è membro del gruppo Administrators in tutti i computer che hanno aggiunto un dominio, inclusi i controller di dominio. Il gruppo Domain Admins è il proprietario predefinito di qualsiasi oggetto creato in Active Directory per il dominio da qualsiasi membro del gruppo. Se i membri del gruppo creano altri oggetti, ad esempio i file, il proprietario predefinito è il gruppo Administrators.

Il gruppo Domain Admins controlla l'accesso a tutti i controller di dominio in un dominio e può modificare l'appartenenza di tutti gli account amministrativi nel dominio. I membri dei gruppi di amministratori del servizio nel relativo dominio (Amministratori e Amministratori di dominio) e i membri del gruppo Enterprise Admins possono modificare l'appartenenza a Domain Admins. Questo gruppo è considerato un account amministratore del servizio perché i relativi membri hanno accesso completo ai controller di dominio in un dominio.

Il gruppo Domain Admins si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-512
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Amministratore
Membro predefinito di Amministratori

Replica della password del controller di dominio di sola lettura negata

Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Vedere Amministratori

Vedere Replica della password del controller di dominio di sola lettura negata

Computer del dominio

Questo gruppo può includere tutti i computer e i server che hanno aggiunto il dominio, esclusi i controller di dominio. Per impostazione predefinita, qualsiasi account computer creato diventa automaticamente membro di questo gruppo.

Il gruppo Domain Computers si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21- dominio<>-515
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Tutti i computer aggiunti al dominio, esclusi i controller di dominio
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Sì (ma non obbligatorio)
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Controller di dominio

Il gruppo Controller di dominio può includere tutti i controller di dominio nel dominio. I nuovi controller di dominio vengono aggiunti automaticamente a questo gruppo.

Il gruppo Controller di dominio si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-516
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Account computer per tutti i controller di dominio del dominio
Membro predefinito di Replica della password del controller di dominio di sola lettura negata
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito? No
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Domain Guests

Il gruppo Domain Guest include l'account guest predefinito del dominio. Quando i membri di questo gruppo accedono come guest locali a un computer aggiunto a un dominio, viene creato un profilo di dominio nel computer locale.

Il gruppo Domain Guest si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-514
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Ospite
Membro predefinito di Guests
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? È possibile spostare il gruppo, ma non è consigliabile
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Visualizzare gli Utenti guest

Domain Users

Il gruppo Domain Users include tutti gli account utente in un dominio. Quando si crea un account utente in un dominio, viene aggiunto automaticamente a questo gruppo.

Per impostazione predefinita, qualsiasi account utente creato nel dominio diventa automaticamente membro di questo gruppo. È possibile usare questo gruppo per rappresentare tutti gli utenti nel dominio. Ad esempio, se si desidera che tutti gli utenti di dominio abbiano accesso a una stampante, è possibile assegnare autorizzazioni per la stampante a questo gruppo o aggiungere il gruppo Utenti di dominio a un gruppo locale nel server di stampa con autorizzazioni per la stampante.

Il gruppo Domain Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-513
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Amministratore
krbtgt
Membro predefinito di Utenti
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Visualizzare Utenti

Amministratori Enterprise

Il gruppo Enterprise Admins esiste solo nel dominio radice di una foresta Active Directory di domini. Il gruppo è un gruppo universale se il dominio è in modalità nativa. Il gruppo è un gruppo globale se il dominio è in modalità mista. I membri di questo gruppo sono autorizzati a apportare modifiche a livello di foresta in Active Directory, ad esempio l'aggiunta di domini figlio.

Per impostazione predefinita, il solo membro del gruppo è l'account Administrator per il dominio radice della foresta. Questo gruppo viene aggiunto automaticamente al gruppo Administrators in ogni dominio della foresta e fornisce l'accesso completo alla configurazione di tutti i controller di dominio. I membri di questo gruppo possono modificare l'appartenenza di tutti i gruppi amministrativi. I membri dei gruppi di amministratori del servizio predefiniti nel dominio radice possono modificare l'appartenenza a Enterprise Admins. Questo gruppo è considerato un account amministratore del servizio.

Il gruppo Enterprise Admins si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<root domain>-519
Digita Universale se il dominio è in modalità nativa; in caso contrario, Globale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Amministratore
Membro predefinito di Amministratori

Replica della password del controller di dominio di sola lettura negata

Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Vedere Amministratori

Vedere Replica della password del controller di dominio di sola lettura negata

Enterprise Key Admins

I membri di questo gruppo possono eseguire azioni amministrative sugli oggetti chiave all'interno della foresta.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-527
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Controller di dominio di sola lettura organizzazione

I membri di questo gruppo sono controller di dominio di sola lettura nell'organizzazione. Ad eccezione delle password dell'account, un controller di dominio di sola lettura contiene tutti gli oggetti e gli attributi di Active Directory contenuti in un controller di dominio scrivibile. Tuttavia, non è possibile apportare modifiche al database archiviato nel controller di dominio di sola lettura. Le modifiche devono essere apportate in un controller di dominio scrivibile e quindi replicate nel controller di dominio di sola lettura.

I controller di dominio di sola lettura affrontano alcuni dei problemi comunemente riscontrati nelle succursali. Queste posizioni potrebbero non avere un controller di dominio o potrebbero avere un controller di dominio scrivibile, ma non la sicurezza fisica, la larghezza di banda di rete o l'esperienza locale per supportarla.

Per altre informazioni, vedere Che cos'è un controller di dominio di sola lettura?

Il gruppo Controller di dominio di sola lettura enterprise si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<root domain>-498
Digita Universale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Event Log Readers

I membri di questo gruppo possono leggere i registri eventi dai computer locali. Il gruppo viene creato quando il server viene alzato di livello a un controller di dominio.

Il gruppo Lettori registro eventi si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-573
Digita Locale di dominio
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Proprietari autori criteri di gruppo

Questo gruppo è autorizzato a creare, modificare ed eliminare oggetti Criteri di gruppo nel dominio. Per impostazione predefinita, l'unico membro del gruppo è Administrator.

Per informazioni su altre funzionalità che è possibile usare con questo gruppo di sicurezza, vedere Panoramica di Criteri di gruppo.

Il gruppo Proprietari creatori di criteri di gruppo si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-520
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Amministratore
Membro predefinito di Replica della password del controller di dominio di sola lettura negata
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? No
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Vedere Replica della password del controller di dominio di sola lettura negata

Utenti guest

Per impostazione predefinita, i membri del gruppo Guest hanno lo stesso accesso dei membri del gruppo Utenti, ad eccezione del fatto che l'account guest ha ulteriori restrizioni. Per impostazione predefinita, l'unico membro è l'account Guest. Il gruppo Guest consente agli utenti occasionali o una tantum di accedere con privilegi limitati all'account guest predefinito di un computer.

Quando un membro del gruppo Guest si disconnette, viene eliminato l'intero profilo. L'eliminazione del profilo include tutti gli elementi archiviati nella directory %userprofile%, incluse le informazioni hive del Registro di sistema dell'utente, le icone del desktop personalizzate e altre impostazioni specifiche dell'utente. Questo significa che un guest deve usare un profilo temporaneo per accedere al sistema. Questo gruppo di sicurezza interagisce con l'impostazione di Criteri di gruppo. Quando questo gruppo di sicurezza è abilitato, non accedere agli utenti con profili temporanei. Per accedere a questa impostazione, passare a Configurazione computer>Modelli amministrativi>Sistema>Profili.

Nota

Un account guest è un membro predefinito del gruppo di sicurezza Guest. Gli utenti che non dispongono di un account specifico nel dominio possono utilizzare l'account Guest. L'account Guest può essere utilizzato anche dagli utenti per i quali l'account utente è stato disattivato ma non eliminato. L'account Guest non richiede una password. È possibile impostare diritti e autorizzazioni per l'account Guest come per qualsiasi altro account utente. Per impostazione predefinita, l'account Guest è un membro del gruppo predefinito Guests e del gruppo globale Domain Guests, che consente a un utente di accedere a un dominio. L'account Guest è disattivato per impostazione predefinita e si consiglia di non attivarlo.

Il gruppo Guest si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-546
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Domain Guests
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Amministratori Hyper-V

I membri del gruppo Amministratori Hyper-V hanno accesso completo e senza limitazioni a tutte le funzionalità di Hyper-V. L'aggiunta di membri a questo gruppo consente di ridurre il numero di membri necessari nel gruppo Administrators e di separare ulteriormente l'accesso.

Nota

Prima di Windows Server 2012, l'accesso alle funzionalità in Hyper-V era controllato in parte dall'appartenenza al gruppo Administrators.

Attributo Valore
SID/RID noto S-1-5-32-578
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

IIS_IUSRS

IIS_IUSRS è un gruppo predefinito usato da Internet Information Services (IIS) a partire da IIS 7. Un account e un gruppo predefiniti sono garantiti dal sistema operativo per avere sempre un SID univoco. IIS 7 sostituisce l'account IUSR_MachineName e il gruppo IIS_WPG con il gruppo IIS_IUSRS per assicurarsi che i nomi effettivi usati dal nuovo account e dal nuovo gruppo non vengano mai localizzati. Ad esempio, indipendentemente dalla lingua del sistema operativo Windows installato, il nome dell'account IIS sarà sempre IUSR e il nome del gruppo sarà IIS_IUSRS.

Per altre informazioni, vedere Informazioni sugli account utente e di gruppo predefiniti in IIS 7.

Attributo Valore
SID/RID noto S-1-5-32-568
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti IUSR
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Generatori di trust di foreste in ingresso

I membri del gruppo Generatori di trust foresta in ingresso possono creare trust unidirezionale in ingresso per questa foresta. Active Directory offre sicurezza in più domini o foreste tramite relazioni di trust tra domini e foreste. Prima che l'autenticazione possa verificarsi tra trust, Windows deve determinare se il dominio richiesto da un utente, un computer o un servizio ha una relazione di trust con il dominio di accesso dell'account richiedente.

Per determinare se esiste questa relazione, il sistema di sicurezza di Windows calcola un percorso di attendibilità tra il controller di dominio per il server che riceve la richiesta e un controller di dominio nel dominio dell'account richiedente. Un canale protetto si estende ad altri domini di Active Directory tramite relazioni di trust tra domini. Questo canale protetto viene usato per ottenere e verificare le informazioni di sicurezza, inclusi i SID per utenti e gruppi.

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Per altre informazioni, vedere Funzionamento dei trust tra domini e foreste.

Il gruppo Trust Builders foresta in ingresso si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-557
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Amministratori chiave

I membri di questo gruppo possono eseguire azioni amministrative sugli oggetti chiave all'interno del dominio.

Il gruppo Key Admins si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-526
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Network Configuration Operators

I membri del gruppo Network Configuration Operators possono avere i seguenti privilegi amministrativi per gestire la configurazione delle funzionalità di rete:

  • Modificare le proprietà TCP/IP (Transmission Control Protocol/IP) per una connessione LAN (Local Area Network), che include l'indirizzo IP, la subnet mask, il gateway predefinito e i server dei nomi.

  • Rinominare le connessioni LAN o le connessioni di accesso remoto disponibili per tutti gli utenti.

  • Abilitare o disabilitare una connessione LAN.

  • Modificare le proprietà di tutte le connessioni di accesso remoto degli utenti.

  • Eliminare tutte le connessioni di accesso remoto degli utenti.

  • Rinominare tutte le connessioni di accesso remoto degli utenti.

  • Eseguire i comandi ipconfig, ipconfig /release e ipconfig /renew.

  • Immettere la chiave di sblocco PIN (PUK) per i dispositivi a banda larga mobile che supportano una scheda SIM.

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Il gruppo Network Configuration Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-556
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Performance Log Users

I membri del gruppo Performance Log Users possono gestire contatori delle prestazioni, log e avvisi localmente nel server e dai client remoti senza essere membri del gruppo Administrators. In particolare, i membri di questo gruppo di sicurezza:

  • Possono usare tutte le funzionalità disponibili per il gruppo Performance Monitor Users.

  • Può creare e modificare insiemi di agenti di raccolta dati dopo che al gruppo è assegnato il diritto sull’utilizzo di accesso come processo batch.

    Avviso

    Se si è membri del gruppo Performance Log Users, è necessario configurare gli insiemi di agenti di raccolta dati creati per l'esecuzione con le credenziali.

    Nota

    In Windows Server 2016 e versioni successive, un membro del gruppo Performance Log Users non può creare insiemi di agenti di raccolta dati. Se un membro del gruppo Performance Log Users tenta di creare degli insiemi di agenti di raccolta dati, non può completare l'azione perché l'accesso viene negato.

  • Non è possibile usare il provider di eventi di Traccia kernel di Windows negli insiemi di raccolta dati.

Affinché i membri del gruppo Performance Log Users avviino la registrazione dei dati o modifichino gli insiemi di agenti di raccolta dati, al gruppo deve essere assegnato il diritto sull’utilizzo di accesso come processo batch. Per assegnare questo diritto utente, usare lo snap-in Criteri di sicurezza locali in Microsoft Management Console (MMC).

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo account non può essere rinominato, eliminato o spostato.

Il gruppo Performance Log Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-559
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti Accesso come processo batch: SeBatchLogonRight

Performance Monitor Users

I membri di questo gruppo possono monitorare i contatori delle prestazioni di controller di dominio nel dominio, sia localmente che da client remoti, anche senza appartenere al gruppo Administrators o Performance Log Users. Windows Performance Monitor è uno snap-in MMC che fornisce strumenti per l'analisi delle prestazioni del sistema. Da una singola console è possibile monitorare le prestazioni delle applicazioni e dell'hardware, personalizzare i dati che si desidera raccogliere nei registri, definire soglie per avvisi e azioni automatiche, generare rapporti e visualizzare i dati delle prestazioni precedenti in diversi modi.

In particolare, i membri di questo gruppo di sicurezza:

  • Può usare tutte le funzionalità disponibili per il gruppo Utenti.

  • Può visualizzare i dati sulle prestazioni in tempo reale in Performance Monitor.

  • Può modificare le proprietà di visualizzazione di Performance Monitor durante la visualizzazione dei dati.

  • Non è possibile creare o modificare insiemi di agenti di raccolta dati.

Avviso

I membri del gruppo Utenti di Performance Monitor non possono configurare insiemi di raccolta dati.

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Il gruppo Performance Monitor Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-558
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Accesso compatibile precedente a Windows 2000

I membri del gruppo Accesso compatibile precedente a Windows 2000 hanno accesso in lettura per tutti gli utenti e i gruppi nel dominio. Il gruppo viene fornito per la compatibilità con le versioni precedenti nel caso si utilizzino computer che eseguono Windows NT 4.0 e versioni precedenti. Per impostazione predefinita, il gruppo di identità speciale Everyone è membro di questo gruppo. Aggiungere utenti a questo gruppo solo se eseguono Windows NT 4.0 o versioni precedenti.

Avviso

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master).

Il gruppo Accesso compatibile precedente a Windows 2000 si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-554
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Se si sceglie la modalità Autorizzazioni compatibili precedente a Windows 2000, Everyone e Anonymous sono membri. Se si sceglie la modalità di sola autorizzazione di Windows 2000, gli utenti autenticati sono membri.
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Accedere al computer dalla rete: SeNetworkLogonRight

Ignorare controllo incrociato: (SeChangeNotifyPrivilege).

I membri di questo gruppo possono gestire, creare, condividere ed eliminare le stampanti connesse ai controller di dominio nel dominio, Possono anche gestire gli oggetti stampante di Active Directory nel dominio. I membri di questo gruppo possono accedere e arrestare localmente i controller di dominio nel dominio.

Questo gruppo non include membri predefiniti. Poiché i membri del gruppo possono caricare e scaricare driver di dispositivo su tutti i controller di dominio nel dominio, è consigliabile aggiungervi utenti con cautela. Questo gruppo non può essere rinominato, eliminato o rimosso.

Il gruppo di operatori di stampa Print Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Per altre informazioni, vedere Assegnare le impostazioni di autorizzazione per l'amministratore di stampa e la stampante delegate in Windows Server 2012.

Attributo Valore
SID/RID noto S-1-5-32-550
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Consenti accesso in locale: SeInteractiveLogonRight

Caricare e scaricare i driver di dispositivo: SeLoadDriverPrivilege

Arrestare il sistema: SeShutdownPrivilege

Utenti protetti

I membri del gruppo Utenti protetti hanno una protezione aggiuntiva contro la compromissione delle credenziali durante i processi di autenticazione.

Questo gruppo di sicurezza fa parte di una strategia per proteggere e gestire efficacemente le credenziali all'interno dell'organizzazione. Agli account dei membri di questo gruppo vengono applicate automaticamente protezioni non configurabili. Per impostazione predefinita, l'appartenenza al gruppo Utenti protetti è progettata per essere restrittiva e sicura in modo proattivo. L'unico modo per modificare la protezione per un account consiste nel rimuovere l'account dal gruppo di sicurezza.

Questo gruppo globale correlato al dominio attiva la protezione non configurabile nei dispositivi e nei computer host, a partire dai sistemi operativi Windows Server 2012 R2 e Windows 8.1. Attiva inoltre la protezione non configurabile nei controller di dominio nei domini con un controller di dominio primario che esegue Windows Server 2016 o Windows Server 2012 R2. Questa protezione riduce notevolmente l'impatto delle credenziali sulla memoria quando gli utenti accedono ai computer in rete da un computer non compromesso.

A seconda del livello di funzionalità del dominio dell'account, i membri del gruppo Utenti protetti dispongono di un'ulteriore protezione grazie alle modifiche del comportamento nei metodi di autenticazione supportati in Windows.

  • I membri del gruppo Utenti protetti non possono eseguire l'autenticazione usando i provider di supporto per la sicurezza seguenti: NTLM, Autenticazione del digest o CredSSP. Le password non vengono memorizzate nella cache in un dispositivo che esegue Windows 10 o Windows 8.1, quindi il dispositivo non riesce a eseguire l'autenticazione in un dominio quando l'account è membro del gruppo Utenti protetti.

  • Il protocollo Kerberos non usa i tipi di crittografia più vulnerabili DES o RC4 nel processo di preautenticazione. Ciò significa che il dominio deve essere configurato per supportare almeno il pacchetto di crittografia AES.

  • L'account utente non può usare la delega Kerberos vincolata o non vincolata. Se l'utente è membro del gruppo Utenti protetti, le connessioni precedenti ad altri sistemi potrebbero non riuscire.

  • È possibile modificare l’impostazione della durata predefinita dei ticket di concessione ticket Kerberos (TGT), pari a quattro ore, usando Criteri di autenticazione e silo nel Centro di amministrazione di Active Directory. Nell'impostazione predefinita, quando sono trascorse quattro ore, l'utente deve eseguire di nuovo l'autenticazione.

Il gruppo Utenti protetti si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Questo gruppo è stato introdotto in Windows Server 2012 R2. Per altre informazioni su questo gruppo, vedere Protected Users Security Group.

La seguente tabella specifica le proprietà del gruppo Utenti protetti:

Attributo Valore
SID/RID noto S-1-5-21-<domain>-525
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Server RAS e IAS

I computer membri del gruppo server RAS e IAS, se configurati correttamente, possono usare i servizi di accesso remoto. Per impostazione predefinita, questo gruppo non ha membri. I computer che eseguono il servizio routing e accesso remoto (RRAS) e i servizi di accesso remoto, ad esempio IAS (Internet Authentication Service) e i server dei criteri di rete vengono aggiunti automaticamente al gruppo. I membri di questo gruppo hanno accesso a determinate proprietà di oggetti Utente, ad esempio Restrizioni dell'account di lettura, Informazioni di accesso in lettura e Lettura informazioni di accesso remoto.

Il gruppo di server RAS e IAS si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-553
Digita Builtin Local
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Server endpoint Servizi Desktop remoto

I server membri del gruppo Server endpoint Servizi Desktop remoto possono eseguire macchine virtuali e sessioni host in cui vengono eseguiti i programmi RemoteApp degli utenti e i desktop virtuali personali. È necessario popolare questo gruppo nei server che eseguono Gestore connessione Desktop remoto. I server Host sessione e i server Host di virtualizzazione Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo.

Per informazioni su Servizi Desktop remoto, vedere Panoramica di Servizi Desktop remoto in Windows Server.

Attributo Valore
SID/RID noto S-1-5-32-576
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Server di gestione Servizi Desktop remoto

È possibile usare i server membri del gruppo Server di gestione Servizi Desktop remoto per completare le azioni amministrative di routine sui server che eseguono Servizi Desktop remoto. È necessario popolare questo gruppo in tutti i server in una distribuzione di Servizi Desktop remoto. I server che eseguono il servizio Gestione centrale Servizi Desktop remoto devono essere inclusi in questo gruppo.

Attributo Valore
SID/RID noto S-1-5-32-577
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Server di accesso remoto di Servizi Desktop remoto

I server nel gruppo Server Accesso remoto Servizi Desktop remoto consentono agli utenti di accedere ai programmi RemoteApp e ai desktop virtuali personali. Nelle distribuzioni con connessione Internet, questi server vengono in genere distribuiti in una rete perimetrale. È necessario popolare questo gruppo nei server che eseguono Gestore connessione Desktop remoto. I server Gateway Desktop remoto e i server Accesso Web Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo.

Per altre informazioni, vedere Panoramica di Servizi Desktop remoto in Windows Server.

Attributo Valore
SID/RID noto S-1-5-32-575
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Controller di dominio di sola lettura

Questo gruppo è composto dai controller di dominio di sola lettura nel dominio. Un controller di dominio di sola lettura consente alle organizzazioni di distribuire facilmente un controller di dominio in scenari in cui la sicurezza fisica non può essere garantita, ad esempio nelle succursali o quando l'archiviazione locale di tutte le password di dominio è considerata una minaccia primaria, ad esempio in un ruolo extranet o rivolto all'applicazione.

Poiché è possibile delegare l'amministrazione di un controller di dominio a un utente di dominio o a un gruppo di sicurezza, un controller di dominio di sola lettura è adatto per un sito che non deve avere un utente membro del gruppo Domain Admins. Un controller di dominio di sola lettura ha le seguenti funzionalità:

  • Contiene un database di Active Directory Domain Services di sola lettura

  • Replica unidirezionale

  • Memorizzazione delle credenziali nella cache

  • Separazione dei ruoli di amministratore

  • Contiene DNS (Domain Name System) di sola lettura

Per altre informazioni, vedere Understanding Planning and Deployment for Read-Only Domain Controllers.For more information, see Understanding Planning and Deployment for Read-Only Domain Controllers.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-521
Digita Generale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Replica della password del controller di dominio di sola lettura negata
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti Vedere Replica della password del controller di dominio di sola lettura negata

Utenti desktop remoto

Usare il gruppo Utenti Desktop remoto in un server Host sessione Desktop remoto per concedere a utenti e gruppi le autorizzazioni per connettersi in remoto a un server host sessione Desktop remoto. Questo gruppo non può essere rinominato, eliminato o rimosso. Il gruppo viene visualizzato come SID fino a quando il controller di dominio non viene reso il controller di dominio primario e mantiene il ruolo FSMO (Operations Master).

Il gruppo Utenti Desktop remoto si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-555
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Utenti gestione remota

I membri del gruppo Utenti gestione remota possono accedere alle risorse di Strumentazione gestione Windows (WMI) su protocolli di gestione come WS-Management tramite il servizio Gestione remota Windows. L'accesso alle risorse WMI si applica solo agli spazi dei nomi WMI che concedono l'accesso all'utente.

Usare il gruppo Utenti gestione remota per consentire agli utenti di gestire i server tramite la console di Server Manager. Usare il gruppo WinRMRemoteWMIUsers\_ per consentire agli utenti di eseguire in remoto i comandi di Windows PowerShell.

Per altre informazioni, vedere Novità di MI? e Informazioni su WMI.

Attributo Valore
SID/RID noto S-1-5-32-580
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Replicator

I computer membri del gruppo Replicator supportano la replica di file in un dominio. I sistemi operativi Windows Server usano il servizio Replica file (FRS) per replicare i criteri di sistema e gli script di accesso archiviati nella cartella Volume di sistema (cartella sysvol). Ogni controller di dominio mantiene una copia della cartella sysvol per consentire ai client di rete di accedere. FRS può anche replicare i dati per File system distribuito (DFS) e sincronizzare il contenuto di ogni membro in un set di repliche come definito da DFS. FrS può copiare e gestire file e cartelle condivisi in più server contemporaneamente. Quando vengono fatte delle modifiche, il contenuto viene sincronizzato immediatamente all'interno dei siti e in base a una pianificazione tra siti.

Avviso

In Windows Server 2008 R2 non è possibile usare FRS per replicare cartelle DFS o dati personalizzati (non sysvol). Un controller di dominio Windows Server 2008 R2 può comunque usare FRS per replicare il contenuto della risorsa condivisa della cartella sysvol in un dominio che usa FRS per replicare la risorsa condivisa della cartella sysvol tra controller di dominio. Tuttavia, i server Windows Server 2008 R2 non possono usare FRS per replicare il contenuto di qualsiasi set di repliche ad eccezione della risorsa condivisa della cartella sysvol. Il servizio Replica DFS è una sostituzione di FRS. È possibile usare Replica DFS per replicare il contenuto di una risorsa condivisa di cartelle sysvol, cartelle DFS e altri dati personalizzati (non sysvol). È consigliabile eseguire la migrazione di tutti i set di repliche FRS non sysvol alla replica DFS.

Per altre informazioni, vedere:

Attributo Valore
SID/RID noto S-1-5-32-552
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Amministratori schema

I membri del gruppo Schema Admins possono modificare lo schema di Active Directory. Questo gruppo esiste solo nel dominio radice di una foresta active Directory di domini. Questo gruppo è un gruppo universale se il dominio è in modalità nativa. Questo gruppo è un gruppo globale se il dominio è in modalità mista.

Il gruppo è autorizzato a apportare modifiche allo schema in Active Directory. Per impostazione predefinita, il solo membro del gruppo è l'account Administrator per il dominio radice della foresta. Questo gruppo ha accesso amministrativo completo allo schema.

Qualsiasi gruppo di amministratori del servizio nel dominio radice può modificare l'appartenenza a questo gruppo. Questo gruppo è considerato un account amministratore del servizio perché i relativi membri possono modificare lo schema, che regola la struttura e il contenuto dell'intera directory.

Per altre informazioni, vedere Che cos'è lo schema di Active Directory?

Il gruppo Schema Admins si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-21-<root domain>-518
Digita Universale (se dominio è in modalità nativa) altrimenti Globale
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Amministratore
Membro predefinito di Replica della password del controller di dominio di sola lettura negata
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Vedere Replica della password del controller di dominio di sola lettura negata

Server Operators

I membri del gruppo Server Operators possono amministrare i controller di dominio. Questo gruppo esiste solo nei controller di dominio. Per impostazione predefinita, il gruppo non ha membri. I membri del gruppo Server Operators possono eseguire le azioni seguenti: accedere a un server in modo interattivo, creare ed eliminare risorse condivise di rete, avviare e arrestare i servizi, eseguire il backup e il ripristino dei file, formattare l'unità disco rigido del computer e arrestare il computer. Questo gruppo non può essere rinominato, eliminato o rimosso.

Per impostazione predefinita, questo gruppo predefinito non ha membri. Il gruppo ha accesso alle opzioni di configurazione del server nei controller di dominio. L'appartenenza è controllata dai gruppi di amministratori del servizio Amministratori e Amministratori di dominio nel dominio e dal gruppo Enterprise Admins nel dominio radice della foresta. I membri di questo gruppo non possono modificare le appartenenze ai gruppi amministrativi. Questo gruppo è considerato un account amministratore del servizio perché i membri hanno accesso fisico ai controller di dominio. I membri di questo gruppo possono eseguire attività di manutenzione come backup e ripristino e possono modificare i file binari installati nei controller di dominio. Vedere i diritti utente predefiniti del gruppo nella tabella seguente.

Il gruppo Server Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-549
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder?
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti Consenti accesso in locale: SeInteractiveLogonRight

Backup di file e directory: SeBackupPrivilege

Modificare l'ora di sistema: SeSystemTimePrivilege

Modificare il fuso orario: SeTimeZonePrivilege

Forzare l'arresto da un sistema remoto: SeRemoteShutdownPrivilege

Ripristinare file e directory: ripristinare file e directory SeRestorePrivilege

Arrestare il sistema: SeShutdownPrivilege

Amministratori della replica di archiviazione

I membri del gruppo Amministratori replica archiviazione hanno accesso completo e senza restrizioni a tutte le funzionalità di Replica di archiviazione. Il gruppo Amministratori replica di archiviazione si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-582
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Account gestiti di sistema

L'appartenenza al gruppo Account gestiti di sistema viene gestita dal sistema.

Il gruppo Account gestiti di sistema si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-581
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Utenti
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Server licenze Terminal Server

I membri del gruppo Server licenze Terminal Server possono aggiornare gli account utente in Active Directory con informazioni sul rilascio delle licenze. Il gruppo viene usato per tenere traccia e segnalare l'utilizzo di TS per utente CAL. Una licenza CAL TS per utente offre a un utente il diritto di accedere a un'istanza di Terminal Server da un numero illimitato di computer client o dispositivi. Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Per altre informazioni su questo gruppo di sicurezza, vedere Configurazione del gruppo di sicurezza del server licenze terminal Services.

Il gruppo Server licenze Terminal Server si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-561
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di None
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
Protetto da AdminSDHolder? No
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Utenti

Ai membri del gruppo Utenti viene impedito di apportare modifiche accidentali o intenzionali a livello di sistema. I membri di questo gruppo possono eseguire la maggior parte delle applicazioni. Dopo l'installazione iniziale del sistema operativo, l'unico membro è il gruppo Authenticated Users. Quando un computer viene aggiunto a un dominio, il gruppo Domain Users viene aggiunto al gruppo Users del computer.

Gli utenti possono eseguire attività come eseguire un'applicazione, usare stampanti locali e di rete, arrestare il computer e bloccare il computer. Gli utenti possono installare applicazioni che possono usare solo se il programma di installazione dell'applicazione supporta l'installazione per utente. Questo gruppo non può essere rinominato, eliminato o rimosso.

Il gruppo Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Questo gruppo di sicurezza include le modifiche seguenti a partire da Windows Server 2008:

  • In Windows Server 2008 R2 Interactive è stato aggiunto all'elenco dei membri predefiniti.

  • In Windows Server 2012 l'elenco membro predefinito è cambiato da Utenti di dominio a nessuno.

Attributo Valore
SID/RID noto S-1-5-32-545
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Utenti autenticati

Domain Users

Interattivo

Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? No
Diritti utente predefiniti None

Accesso all'autorizzazione di Windows

I membri di questo gruppo hanno accesso all'attributo GroupsGlobalAndUniversal del token calcolato negli oggetti User. Alcune applicazioni dispongono di funzionalità che leggono l'attributo token-groups-global-and-universal (TG ROUTE) sugli oggetti dell'account utente o sugli oggetti account computer in Servizi di dominio Active Directory. Alcune funzioni Win32 semplificano la lettura dell'attributo TG ROUTE. Le applicazioni che leggono questo attributo o che chiamano un'API (una funzione) che legge questo attributo non riescono se il contesto di sicurezza chiamante non ha accesso all'attributo. Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Il gruppo Accesso autorizzazioni di Windows si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

Attributo Valore
SID/RID noto S-1-5-32-560
Digita Builtin Local
Contenitore predefinito CN=Builtin, DC=<domain>, DC=
Membri predefiniti Controller di dominio organizzazione
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito? Non può essere spostato
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

WinRMRemoteWMIUsers_

In Windows Server 2012 e Windows 8 è stata aggiunta una scheda Condividi all'interfaccia utente Impostazioni di sicurezza avanzate. In questa scheda vengono visualizzate le proprietà di sicurezza di una condivisione file remota. Per visualizzare queste informazioni, è necessario disporre delle autorizzazioni e delle appartenenze seguenti, come appropriato per la versione di Windows Server in cui è in esecuzione il file server.

Il gruppo WinRMRemoteWMIUsers_ si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.

  • Se la condivisione file è ospitata in un server che esegue una versione supportata del sistema operativo:

    • È necessario essere un membro del gruppo WinRMRemoteWMIUsers__ o del gruppo BUILTIN\Administrators.

    • È necessario disporre delle autorizzazioni di lettura per la condivisione file.

  • Se la condivisione file è ospitata in un server che esegue una versione di Windows Server precedente a Windows Server 2012:

    • L'utente deve essere membro del gruppo BUILTIN\Administrators.

    • È necessario disporre delle autorizzazioni di lettura per la condivisione file.

In Windows Server 2012, la funzionalità Assistenza accesso negato aggiunge il gruppo Utenti autenticati al gruppo di WinRMRemoteWMIUsers__ locale. Quando la funzionalità Assistenza accesso negato è abilitata, tutti gli utenti autenticati che dispongono delle autorizzazioni di lettura per la condivisione file possono visualizzare le autorizzazioni di condivisione file.

Nota

Il gruppo di WinRMRemoteWMIUsers__ consente di eseguire i comandi di Windows PowerShell in modalità remota. Al contrario, si usa in genere il gruppo Utenti gestione remota per consentire agli utenti di gestire i server tramite la console di Server Manager.

Attributo Valore
SID/RID noto S-1-5-21-<domain>-<variable RI>
Digita Locale di dominio
Contenitore predefinito CN=Users, DC=<domain>, DC=
Membri predefiniti Nessuno
Membro predefinito di Nessuno
Protetto da AdminSDHolder? No
È sicuro spostarlo fuori dal contenitore predefinito?
È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio?
Diritti utente predefiniti None

Vedi anche