Gruppi di sicurezza di Active Directory
Informazioni sui gruppi di sicurezza predefiniti di Active Directory, sull'ambito del gruppo e sulle funzioni del gruppo.
Che cos'è un gruppo di sicurezza in Active Directory?
Active Directory ha due forme di entità di sicurezza comuni: account utente e account computer. Questi account rappresentano un'entità fisica che sia una persona o un computer. Un account utente può essere usato anche come account di servizio dedicato per alcune applicazioni.
I gruppi di sicurezza sono un modo per raccogliere account utente, account computer e altri gruppi in unità gestibili.
Nel sistema operativo Windows Server, diversi account predefiniti e gruppi di sicurezza sono preconfigurati con i diritti e le autorizzazioni appropriati per eseguire attività specifiche. In Active Directory le responsabilità amministrative sono separate in due tipi di amministratori:
Amministratori del servizio: responsabile della gestione e della distribuzione di Active Directory Domain Services (AD DS), inclusa la gestione dei controller di dominio e la configurazione di Active Directory Domain Services.
Amministratori dei dati: responsabile della gestione dei dati archiviati in Servizi di dominio Active Directory e nei server membri del dominio e nelle workstation.
Funzionamento dei gruppi di sicurezza di Active Directory
Usare i gruppi per raccogliere account utente, account computer e altri gruppi in unità gestibili. L'uso di gruppi anziché con singoli utenti consente di semplificare la manutenzione e l'amministrazione della rete.
Active Directory ha due tipi di gruppi:
Gruppi di sicurezza: usare per assegnare autorizzazioni alle risorse condivise.
Gruppi di distribuzione: usare per creare liste di distribuzione di posta elettronica.
Gruppi di sicurezza
I gruppi di sicurezza possono offrire un modo efficiente per assegnare l'accesso alle risorse nella rete. È possibile utilizzare i gruppi di sicurezza per eseguire le operazioni seguenti:
Assegnare i diritti utente ai gruppi di sicurezza in Active Directory.
Assegnare i diritti utente a un gruppo di sicurezza per determinare quali operazioni possono eseguire i membri di quel gruppo all'interno dell'ambito di un dominio o di una foresta. I diritti utente vengono assegnati automaticamente ad alcuni gruppi di sicurezza durante l'installazione di Active Directory per consentire agli amministratori di definire il ruolo amministrativo di un utente nel dominio.
Ad esempio, un utente aggiunto al gruppo Backup Operators in Active Directory ha la possibilità di eseguire il backup e il ripristino di file e directory che si trovano in ogni controller di dominio nel dominio. L'utente può completare queste azioni perché, per impostazione predefinita, i diritti utente File di backup e directory e Ripristina file e directory vengono automaticamente assegnati al gruppo Operatori di backup. Pertanto, i membri di questo gruppo ereditano i diritti utente assegnati a tale gruppo.
È possibile usare Criteri di gruppo per assegnare i diritti utente ai gruppi di sicurezza per delegare attività specifiche. Per altre informazioni sull'uso di Criteri di gruppo, vedere Assegnazione diritti utente.
Assegnare autorizzazioni per le risorse ai gruppi di sicurezza.
Le autorizzazioni si differenziano dai diritti utente. Le autorizzazioni vengono assegnate a un gruppo di sicurezza per una risorsa condivisa. Le autorizzazioni definiscono chi può accedere alla risorsa e il livello di accesso, ad esempio Controllo completo o Lettura. Alcune autorizzazioni impostate sugli oggetti dominio vengono assegnate automaticamente per attribuire vari livelli di accesso ai gruppi di sicurezza predefiniti, ad esempio il gruppo Account Operators o Domain Admins.
I gruppi di sicurezza sono elencati in Elenchi di controllo di accesso discrezionale (DACL) che definiscono le autorizzazioni per risorse e oggetti. Quando gli amministratori assegnano autorizzazioni per risorse come condivisioni file o stampanti, devono assegnare tali autorizzazioni a un gruppo di sicurezza anziché a singoli utenti. Le autorizzazioni vengono assegnate una sola volta al gruppo anziché più volte a ogni singolo utente. Ogni account aggiunto a un gruppo riceve i diritti assegnati a tale gruppo in Active Directory. L'utente riceve le autorizzazioni definite per tale gruppo.
È possibile usare un gruppo di sicurezza come entità di posta elettronica. L'invio di un messaggio di posta elettronica al gruppo di sicurezza determina l'invio del messaggio a tutti i membri del gruppo.
Gruppi di distribuzione
È possibile usare i gruppi di distribuzione solo per inviare messaggi di posta elettronica alle raccolte di utenti usando un'applicazione di posta elettronica come Exchange Server. I gruppi di distribuzione non sono abilitati per la sicurezza, quindi non è possibile includerli in DACL.
Group scope
Ogni gruppo ha un ambito che identifica il campo di applicazione del gruppo nell'albero o nella foresta di dominio. L'ambito di un gruppo definisce la posizione in cui è possibile concedere le autorizzazioni di rete per il gruppo. Active Directory definisce i tre ambiti di gruppo seguenti:
Universale
Generale
Locale di dominio
Nota
Oltre a questi tre ambiti, i gruppi predefiniti nel contenitore Builtin hanno un ambito di gruppo Builtin Local. Non è possibile modificare questo ambito di gruppo e il tipo di gruppo.
La tabella seguente descrive i tre ambiti di gruppo e il relativo funzionamento come gruppi di sicurezza:
| Ambito | Membri possibili | Conversione dell'ambito | Può concedere autorizzazioni | Possibile membro di |
|---|---|---|---|---|
| Universale | Account di qualsiasi dominio nella stessa foresta Gruppi globali di qualsiasi dominio nella stessa foresta Altri gruppi universali di qualsiasi dominio nella stessa foresta |
Può essere convertito nell'ambito locale del dominio se il gruppo non è membro di un altro gruppo universale Può essere convertito nell'ambito globale se il gruppo non contiene altri gruppi universali |
In qualsiasi dominio nella stessa foresta o foreste attendibili | Altri gruppi universali nella stessa foresta Gruppi locali di dominio nella stessa foresta o foreste attendibili Gruppi locali nei computer nella stessa foresta o foreste attendibili |
| Generale | Account dello stesso dominio Altri gruppi globali dello stesso dominio |
Può essere convertito nell'ambito universale se il gruppo non è membro di un altro gruppo globale | In qualsiasi dominio nella stessa foresta, oppure domini o foreste attendibili | Gruppi universali di qualsiasi dominio nella stessa foresta Altri gruppi globali dello stesso dominio Gruppi locali di dominio da qualsiasi dominio nella stessa foresta o da qualsiasi dominio attendibile |
| Locale di dominio | Account di qualsiasi dominio o di qualsiasi dominio attendibile Gruppi globali da qualsiasi dominio o da qualsiasi dominio attendibile Gruppi universali di qualsiasi dominio nella stessa foresta Altri gruppi di dominio locali dello stesso dominio Account, gruppi globali e gruppi universali di altre foreste e da domini esterni |
Può essere convertito nell'ambito universale se il gruppo non contiene altri gruppi locali di dominio | All'interno dello stesso dominio | Altri gruppi di dominio locali dello stesso dominio Gruppi locali nei computer nello stesso dominio, esclusi i gruppi predefiniti con identificatori di sicurezza noti (SID) |
Gruppi di identità speciali
Un gruppo di identità speciale è dove alcune identità speciali vengono raggruppate. I gruppi di identità speciali non dispongono di appartenenze specifiche che è possibile modificare, ma possono rappresentare utenti diversi in momenti diversi a seconda delle circostanze. Alcuni di questi gruppi includono Creator Owner, Batch e Authenticated User.
Per altre informazioni, vedere Gruppi di identità speciali.
Gruppi di sicurezza predefiniti
I gruppi predefiniti, ad esempio il gruppo Domain Admins, sono gruppi di sicurezza creati automaticamente durante la creazione di un dominio Active Directory. È possibile utilizzare i gruppi predefiniti per controllare l'accesso alle risorse condivise e delegare ruoli di amministrazione specifici a livello di dominio.
A molti gruppi predefiniti viene assegnato automaticamente un insieme di diritti utente che autorizza i membri del gruppo a eseguire azioni specifiche in un dominio, quali l'accesso a un sistema locale o il backup di file e cartelle. Un membro del gruppo Backup Operators ha, ad esempio, il diritto di eseguire operazioni di backup per tutti i controller di dominio nel dominio.
Quando si aggiunge un utente a un gruppo, l'utente riceve tutti i diritti utente e tutte le autorizzazioni assegnate al gruppo per qualsiasi risorsa condivisa.
I gruppi predefiniti si trovano nel contenitore Builtin e nel contenitore Users in Active Directory Users and Computers. Il contenitore Builtin include gruppi definiti con l'ambito Domain Local. Il contenitore Users include i gruppi definiti con ambito globale e quelli definiti con ambito locale di dominio. È possibile spostare i gruppi che si trovano in questi contenitori in altri gruppi o unità organizzative all'interno del dominio, ma non in altri domini.
Alcuni dei gruppi amministrativi elencati in questo articolo e tutti i membri di questi gruppi sono protetti da un processo in background che verifica periodicamente e applica un descrittore di sicurezza specifico. Questo descrittore è una struttura di dati che contiene le informazioni sulla sicurezza associate a un oggetto protetto. Questo processo assicura che qualunque tentativo non autorizzato di modificare il descrittore di sicurezza in uno degli account amministrativi o dei gruppi venga sovrascritto con le impostazioni protette.
Questo descrittore di sicurezza si trova nell'oggetto AdminSDHolder. Se si vogliono modificare le autorizzazioni per uno dei gruppi di amministratori dei servizi o per uno dei relativi account membri, è necessario modificare il descrittore di sicurezza nell'oggetto AdminSDHolder in modo che venga applicato in modo coerente. Prestare attenzione quando si apportano queste modifiche, perché vengono modificate di conseguenza anche le impostazioni predefinite applicate a tutti gli account amministrativi protetti.
Gruppi di sicurezza di Active Directory predefiniti
L'elenco seguente fornisce descrizioni dei gruppi predefiniti che si trovano nei contenitori Builtin e Users in Active Directory:
- Operatori di assistenza per il controllo di accesso
- Account Operators
- Amministratori
- Replica password del controller di dominio di sola lettura consentita
- Backup Operators
- Accesso DCOM al servizio certificati
- Cert Publishers
- Controller di dominio clonabili
- Operazioni di crittografia
- Replica della password del controller di dominio di sola lettura negata
- Proprietari di dispositivi
- Amministratori DHCP
- Utenti DHCP
- Utenti COM distribuiti
- DnsUpdateProxy
- DnsAdmins
- Domain Admins
- Computer di dominio
- Controller di dominio
- Domain Guests
- Domain Users
- Enterprise Admins
- Enterprise Key Admins
- Controller di dominio di sola lettura organizzazione
- Event Log Readers
- Proprietari autori criteri di gruppo
- Guests
- Amministratori di Hyper-V
- IIS_IUSRS
- Generatori di trust tra foreste in ingresso
- Amministratori chiavi
- Network Configuration Operators
- Performance Log Users
- Performance Monitor Users
- Accesso compatibile precedente a Windows 2000
- Print Operators
- Utenti protetti
- Server RAS e IAS
- Server endpoint Servizi Desktop remoto
- Server di gestione Servizi Desktop remoto
- Server di accesso remoto di Servizi Desktop remoto
- Controller di dominio di sola lettura
- Utenti desktop remoto
- Utenti gestione remota
- Replicator
- Schema Admins
- Server Operators
- Amministratori della replica di archiviazione
- Account gestiti di sistema
- Server licenze Terminal Server
- Utenti
- Accesso all'autorizzazione di Windows
- WinRMRemoteWMIUsers_
Operatori di assistenza per il controllo di accesso
I membri di questo gruppo possono eseguire query in remoto sugli attributi di autorizzazione e sulle autorizzazioni per le risorse nel computer.
Il gruppo Operatori di assistenza controllo di accesso si applica al sistema operativo Windows Server elencato nella tabella Gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-579 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Account Operators
Il gruppo Account Operators concede privilegi limitati di creazione dell'account a un utente. I membri di questo gruppo possono creare e modificare la maggior parte dei tipi di account, inclusi gli account per gli utenti, i gruppi locali e i gruppi globali. I membri del gruppo possono accedere localmente ai controller di dominio.
I membri del gruppo Account Operators non possono gestire l'account utente amministratore, gli account utente degli amministratori o i gruppi Administrators, Server Operators, Account Operators, Backup Operators o Print Operators. I membri di questo gruppo non possono modificare i diritti utente.
Il gruppo Account Operators si applica al sistema operativo Windows Server nell'elenco Gruppi di sicurezza di Active Directory predefiniti.
Nota
Per impostazione predefinita, questo gruppo predefinito non ha membri. Il gruppo può creare e gestire utenti e gruppi nel dominio, inclusa la propria appartenenza e quella del gruppo Server Operators. Questo gruppo è considerato un gruppo di amministratori del servizio perché può modificare i Server Operators, che a loro volta possono modificare le impostazioni del controller di dominio. Come procedura consigliata, lasciare vuota l'appartenenza a questo gruppo e non usarla per alcuna amministrazione delegata. Questo gruppo non può essere rinominato, eliminato o rimosso.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-548 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Consenti accesso in locale: SeInteractiveLogonRight |
Amministratori
I membri del gruppo Administrators hanno accesso completo e senza restrizioni al computer. Se il computer viene alzato di livello a un controller di dominio, i membri del gruppo Administrators hanno accesso senza restrizioni al dominio.
Il gruppo Administrators si applica al sistema operativo Windows Server nell'elenco Gruppi di sicurezza di Active Directory predefiniti.
Nota
Il gruppo Administrators include funzionalità predefinite che offrono ai membri il controllo completo sul sistema. Questo gruppo non può essere rinominato, eliminato o rimosso. Questo gruppo predefinito controlla l'accesso a tutti i controller di dominio nel dominio e può modificare l'appartenenza di tutti i gruppi amministrativi. I membri dei gruppi seguenti possono modificare l'appartenenza al gruppo Administrators: il servizio predefinito Administrators, Domain Admins nel dominio e Enterprise Admins. Questo gruppo ha il privilegio speciale di assumere la proprietà di qualsiasi oggetto nella directory o di qualsiasi risorsa in un controller di dominio. Questo account è considerato un gruppo di amministratori del servizio perché i relativi membri hanno accesso completo ai controller di dominio nel dominio.
Questo gruppo di sicurezza include le modifiche seguenti a partire da Windows Server 2008:
Modifiche ai diritti utente predefiniti: Consenti accesso tramite Servizi terminal esisteva in Windows Server 2008 ed è stato sostituito da Consenti accesso tramite Servizi Desktop remoto.
Rimuovere il computer dalla stazione di ancoraggio è stato rimosso in Windows Server 2012 R2.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-544 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Administrator, Domain Admins, Enterprise Admins |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Regolazione limite risorse memoria per un processo: SeIncreaseQuotaPrivilege Accedere al computer dalla rete: SeNetworkLogonRight Consenti accesso in locale: SeInteractiveLogonRight Consenti accesso tramite Servizi Desktop remoto: SeRemoteInteractiveLogonRight Backup di file e directory: SeBackupPrivilege Ignorare controllo incrociato: (SeChangeNotifyPrivilege). Modificare l'ora di sistema: SeSystemTimePrivilege Modificare il fuso orario: SeTimeZonePrivilege Creare un file di pagina: SeCreatePagefilePrivilege Creare oggetti globali: SeCreateGlobalPrivilege Creare collegamenti simbolici: SeCreateSymbolicLinkPrivilege Programmi di debug: SeDebugPrivilege Impostazione account computer ed utente a tipo trusted per la delega: SeEnableDelegationPrivilege Forzare l'arresto da un sistema remoto: SeRemoteShutdownPrivilege Rappresentare un client dopo l'autenticazione: SeImpersonatePrivilege Aumentare la priorità di pianificazione: SeIncreaseBasePriorityPrivilege Caricare e scaricare i driver di dispositivo: SeLoadDriverPrivilege Accesso come processo batch: SeBatchLogonRight Gestire il controllo e i log di sicurezza: SeSecurityPrivilege Modificare i valori dell'ambiente firmware: SeSystemEnvironmentPrivilege Eseguire attività di manutenzione del volume: SeManageVolumePrivilege Profilo prestazioni del sistema: SeSystemProfilePrivilege Profilo singolo processo: SeProfileSingleProcessPrivilege Rimuovi computer dalla stazione di ancoraggio: SeUndockPrivilege Ripristinare file e directory: SeRestorePrivilege Arrestare il sistema: SeShutdownPrivilege Acquisire la proprietà di file o altri oggetti: SeTakeOwnershipPrivilege |
Replica password del controller di dominio di sola lettura consentita
Lo scopo di questo gruppo di sicurezza è gestire i criteri di replica delle password del controller di dominio di sola lettura. Questo gruppo non ha membri per impostazione predefinita e determina la condizione che i nuovi controller di dominio di sola lettura non memorizzano nella cache le credenziali utente. Il gruppo di replica password del controller di dominio di sola lettura contiene vari account con privilegi elevati e gruppi di sicurezza. Il gruppo Replica password controller di dominio di sola lettura ha sostituito il gruppo di replica password di controller di dominio di sola lettura consentito.
Il gruppo di replica password controller di dominio di sola lettura consentito si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-571 |
| Digita | Locale di dominio |
| Contenitore predefinito | CN=Users DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Backup Operators
I membri del gruppo Backup Operators possono eseguire il backup e il ripristino di tutti i file in un computer, indipendentemente dalle autorizzazioni che proteggono tali file. Gli operatori di backup possono anche accedere e arrestare il computer. Questo gruppo non può essere rinominato, eliminato o rimosso. Per impostazione predefinita, questo gruppo predefinito non ha membri e può eseguire operazioni di backup e ripristino nei controller di dominio. I membri dei gruppi seguenti possono modificare l'appartenenza al gruppo Backup Operators: amministratori dei servizi predefiniti, Domain Admins nel dominio ed Enterprise Admins. I membri del gruppo Backup Operators non possono modificare l'appartenenza di alcun gruppo amministrativo. Anche se i membri di questo gruppo non possono modificare le impostazioni del server o modificare la configurazione della directory, dispongono delle autorizzazioni necessarie per sostituire i file (inclusi i file del sistema operativo) nei controller di dominio. Poiché i membri di questo gruppo possono sostituire i file nei controller di dominio, sono considerati amministratori dei servizi.
Il gruppo Backup Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-551 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Consenti accesso in locale: SeInteractiveLogonRight Backup di file e directory: SeBackupPrivilege Accesso come processo batch: SeBatchLogonRight Ripristinare file e directory: SeRestorePrivilege Arrestare il sistema: SeShutdownPrivilege |
Accesso DCOM al servizio certificati
I membri di questo gruppo possono connettersi alle autorità di certificazione nell'organizzazione.
Il gruppo di accesso DCOM del servizio certificati si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-<domain>-574 |
| Digita | Locale di dominio |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Cert Publishers
I membri del gruppo Cert Publishers sono autorizzati a pubblicare i certificati per gli oggetti Utente in Active Directory.
Il gruppo Cert Publishers si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-517 |
| Digita | Locale di dominio |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Replica della password del controller di dominio di sola lettura negata |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Controller di dominio clonabili
I membri del gruppo Controller di dominio clonabili che sono controller di dominio possono essere clonati. In Windows Server 2012 R2 e Windows Server 2012 è possibile distribuire controller di dominio copiando un controller di dominio virtuale esistente. In un ambiente virtuale non è più necessario distribuire ripetutamente un'immagine del server preparata tramite Sysprep.exe, promuovere il server in un controller di dominio e quindi completare più requisiti di configurazione per la distribuzione di ogni controller di dominio ( inclusa l'aggiunta del controller di dominio virtuale a questo gruppo di sicurezza).
Per altre informazioni, vedere Virtualizzazione sicura di Dominio di Active Directory Services (AD DS)
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-522 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Operazioni di crittografia
I membri di questo gruppo sono autorizzati a eseguire operazioni di crittografia. Questo gruppo di sicurezza è stato aggiunto in Windows Vista Service Pack 1 (SP1) per configurare Windows Firewall per IPsec in modalità Criteri comuni.
Il gruppo Cryptographic Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
Questo gruppo di sicurezza è stato introdotto in Windows Vista SP1 e non è stato modificato nelle versioni successive.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-569 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Replica della password del controller di dominio di sola lettura negata
Le password dei membri del gruppo di replica password del controller di dominio di sola lettura negato non possono essere replicate in alcun controller di dominio di sola lettura.
Lo scopo di questo gruppo di sicurezza è gestire i criteri di replica delle password del controller di dominio di sola lettura. Questo gruppo contiene vari account con privilegi elevati e gruppi di sicurezza. Il gruppo Replica password controller di dominio di sola lettura ha sostituito il gruppo di replica password di controller di dominio di sola lettura consentito.
Questo gruppo di sicurezza include le modifiche seguenti a partire da Windows Server 2008:
- Windows Server 2012 ha modificato i membri predefiniti in modo da includere Cert Publishers.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-572 |
| Digita | Locale di dominio |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Cert Publishers Proprietari autori criteri di gruppo |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Proprietari di dispositivi
Quando il gruppo Proprietari dispositivi non ha membri, è consigliabile non modificare la configurazione predefinita per questo gruppo di sicurezza. La modifica della configurazione predefinita potrebbe ostacolare scenari futuri che si basano su questo gruppo. Il gruppo Proprietari di dispositivi attualmente non viene usato in Windows.
Il gruppo Proprietari di dispositivi si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-583 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | È possibile spostare il gruppo, ma non è consigliabile |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Consenti accesso in locale: SeInteractiveLogonRight Accedere al computer dalla rete: SeNetworkLogonRight Ignorare controllo incrociato: (SeChangeNotifyPrivilege). Modificare il fuso orario: SeTimeZonePrivilege |
DHCP Administrators
I membri del gruppo Amministratori DHCP possono creare, eliminare e gestire aree diverse dell'ambito del server, inclusi i diritti di backup e ripristino del database DHCP (Dynamic Host Configuration Protocol). Anche se questo gruppo dispone di diritti amministrativi, non fa parte del gruppo Administrators perché questo ruolo è limitato ai servizi DHCP.
Il gruppo Amministratori DHCP si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain> |
| Digita | Locale di dominio |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Utenti |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | È possibile spostare il gruppo, ma non è consigliabile |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Utenti DHCP
I membri del gruppo Utenti DHCP possono vedere quali ambiti sono attivi o inattivi, vedere quali indirizzi IP sono assegnati e visualizzare i problemi di connettività se il server DHCP non è configurato correttamente. Questo gruppo è limitato all'accesso in sola lettura al server DHCP.
Il gruppo Utenti DHCP si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain> |
| Digita | Locale di dominio |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Utenti |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | È possibile spostare il gruppo, ma non è consigliabile |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Distributed COM Users
I membri del gruppo Distributed COM Users possono avviare, attivare e usare oggetti COM distribuiti nel computer. COM (Component Object Model) è un sistema orientato all'oggetto, distribuito e indipendente dalla piattaforma per la creazione di componenti software binari in grado di interagire. Distributed Component Object Model (DCOM) consente la distribuzione delle applicazioni tra posizioni che hanno più senso per l'utente e per l'applicazione. Questo gruppo viene visualizzato come SID fino a quando il controller di dominio non viene fatto diventare il controller di dominio primario e mantiene il master operazioni (detto anche il ruolo operazioni a master singolo flessibile o FSMO).
Il gruppo Distributed COM Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-562 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
DnsUpdateProxy
I membri del gruppo DnsUpdateProxy sono client DNS. È consentito eseguire aggiornamenti dinamici per conto di altri client, ad esempio per i server DHCP. Un server DNS può sviluppare record di risorse non aggiornati quando un server DHCP è configurato per registrare dinamicamente i record di risorse host (A) e puntatore (PTR) per conto dei client DHCP tramite l'aggiornamento dinamico. L'aggiunta di client a questo gruppo di sicurezza riduce questo scenario.
Tuttavia, per proteggersi da record non protetti o per consentire ai membri del gruppo DnsUpdateProxy di registrare i record nelle zone che consentono solo aggiornamenti dinamici protetti, è necessario creare un account utente dedicato e configurare i server DHCP per eseguire gli aggiornamenti dinamici DNS usando le credenziali (nome utente, password e dominio) di questo account. Più server DHCP possono usare le credenziali di un account utente dedicato. Questo gruppo esiste solo se il ruolo del server DNS è o è stato installato in un controller di dominio nel dominio.
Per altre informazioni, vedere Proprietà dei record DNS e gruppo DnsUpdateProxy.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-<variable RI> |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
DnsAdmins
I membri del gruppo DnsAdmins hanno accesso alle informazioni DNS di rete. Le autorizzazioni predefinite sono Consenti: Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figlio, Autorizzazioni speciali. Questo gruppo esiste solo se il ruolo del server DNS è o è stato installato in un controller di dominio nel dominio.
Per altre informazioni sulla sicurezza e sul DNS, vedere DNSSEC in Windows Server 2012.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-<variable RI> |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Domain Admins
I membri del gruppo di sicurezza Domain Admins sono autorizzati ad amministrare il dominio. Per impostazione predefinita, il gruppo Domain Admins è membro del gruppo Administrators in tutti i computer che hanno aggiunto un dominio, inclusi i controller di dominio. Il gruppo Domain Admins è il proprietario predefinito di qualsiasi oggetto creato in Active Directory per il dominio da qualsiasi membro del gruppo. Se i membri del gruppo creano altri oggetti, ad esempio i file, il proprietario predefinito è il gruppo Administrators.
Il gruppo Domain Admins controlla l'accesso a tutti i controller di dominio in un dominio e può modificare l'appartenenza di tutti gli account amministrativi nel dominio. I membri dei gruppi di amministratori del servizio nel relativo dominio (Amministratori e Amministratori di dominio) e i membri del gruppo Enterprise Admins possono modificare l'appartenenza a Domain Admins. Questo gruppo è considerato un account amministratore del servizio perché i relativi membri hanno accesso completo ai controller di dominio in un dominio.
Il gruppo Domain Admins si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-512 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Amministratore |
| Membro predefinito di | Amministratori Replica della password del controller di dominio di sola lettura negata |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Vedere Amministratori Vedere Replica della password del controller di dominio di sola lettura negata |
Computer del dominio
Questo gruppo può includere tutti i computer e i server che hanno aggiunto il dominio, esclusi i controller di dominio. Per impostazione predefinita, qualsiasi account computer creato diventa automaticamente membro di questo gruppo.
Il gruppo Domain Computers si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21- dominio<>-515 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Tutti i computer aggiunti al dominio, esclusi i controller di dominio |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì (ma non obbligatorio) |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | Sì |
| Diritti utente predefiniti | None |
Controller di dominio
Il gruppo Controller di dominio può includere tutti i controller di dominio nel dominio. I nuovi controller di dominio vengono aggiunti automaticamente a questo gruppo.
Il gruppo Controller di dominio si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-516 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Account computer per tutti i controller di dominio del dominio |
| Membro predefinito di | Replica della password del controller di dominio di sola lettura negata |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | No |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Domain Guests
Il gruppo Domain Guest include l'account guest predefinito del dominio. Quando i membri di questo gruppo accedono come guest locali a un computer aggiunto a un dominio, viene creato un profilo di dominio nel computer locale.
Il gruppo Domain Guest si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-514 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Ospite |
| Membro predefinito di | Guests |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | È possibile spostare il gruppo, ma non è consigliabile |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Visualizzare gli Utenti guest |
Domain Users
Il gruppo Domain Users include tutti gli account utente in un dominio. Quando si crea un account utente in un dominio, viene aggiunto automaticamente a questo gruppo.
Per impostazione predefinita, qualsiasi account utente creato nel dominio diventa automaticamente membro di questo gruppo. È possibile usare questo gruppo per rappresentare tutti gli utenti nel dominio. Ad esempio, se si desidera che tutti gli utenti di dominio abbiano accesso a una stampante, è possibile assegnare autorizzazioni per la stampante a questo gruppo o aggiungere il gruppo Utenti di dominio a un gruppo locale nel server di stampa con autorizzazioni per la stampante.
Il gruppo Domain Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-513 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Amministratore |
| krbtgt | |
| Membro predefinito di | Utenti |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Visualizzare Utenti |
Amministratori Enterprise
Il gruppo Enterprise Admins esiste solo nel dominio radice di una foresta Active Directory di domini. Il gruppo è un gruppo universale se il dominio è in modalità nativa. Il gruppo è un gruppo globale se il dominio è in modalità mista. I membri di questo gruppo sono autorizzati a apportare modifiche a livello di foresta in Active Directory, ad esempio l'aggiunta di domini figlio.
Per impostazione predefinita, il solo membro del gruppo è l'account Administrator per il dominio radice della foresta. Questo gruppo viene aggiunto automaticamente al gruppo Administrators in ogni dominio della foresta e fornisce l'accesso completo alla configurazione di tutti i controller di dominio. I membri di questo gruppo possono modificare l'appartenenza di tutti i gruppi amministrativi. I membri dei gruppi di amministratori del servizio predefiniti nel dominio radice possono modificare l'appartenenza a Enterprise Admins. Questo gruppo è considerato un account amministratore del servizio.
Il gruppo Enterprise Admins si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<root domain>-519 |
| Digita | Universale se il dominio è in modalità nativa; in caso contrario, Globale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Amministratore |
| Membro predefinito di | Amministratori Replica della password del controller di dominio di sola lettura negata |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Vedere Amministratori Vedere Replica della password del controller di dominio di sola lettura negata |
Enterprise Key Admins
I membri di questo gruppo possono eseguire azioni amministrative sugli oggetti chiave all'interno della foresta.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-527 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Controller di dominio di sola lettura organizzazione
I membri di questo gruppo sono controller di dominio di sola lettura nell'organizzazione. Ad eccezione delle password dell'account, un controller di dominio di sola lettura contiene tutti gli oggetti e gli attributi di Active Directory contenuti in un controller di dominio scrivibile. Tuttavia, non è possibile apportare modifiche al database archiviato nel controller di dominio di sola lettura. Le modifiche devono essere apportate in un controller di dominio scrivibile e quindi replicate nel controller di dominio di sola lettura.
I controller di dominio di sola lettura affrontano alcuni dei problemi comunemente riscontrati nelle succursali. Queste posizioni potrebbero non avere un controller di dominio o potrebbero avere un controller di dominio scrivibile, ma non la sicurezza fisica, la larghezza di banda di rete o l'esperienza locale per supportarla.
Per altre informazioni, vedere Che cos'è un controller di dominio di sola lettura?
Il gruppo Controller di dominio di sola lettura enterprise si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<root domain>-498 |
| Digita | Universale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Event Log Readers
I membri di questo gruppo possono leggere i registri eventi dai computer locali. Il gruppo viene creato quando il server viene alzato di livello a un controller di dominio.
Il gruppo Lettori registro eventi si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-573 |
| Digita | Locale di dominio |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Proprietari autori criteri di gruppo
Questo gruppo è autorizzato a creare, modificare ed eliminare oggetti Criteri di gruppo nel dominio. Per impostazione predefinita, l'unico membro del gruppo è Administrator.
Per informazioni su altre funzionalità che è possibile usare con questo gruppo di sicurezza, vedere Panoramica di Criteri di gruppo.
Il gruppo Proprietari creatori di criteri di gruppo si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-520 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Amministratore |
| Membro predefinito di | Replica della password del controller di dominio di sola lettura negata |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | No |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Vedere Replica della password del controller di dominio di sola lettura negata |
Utenti guest
Per impostazione predefinita, i membri del gruppo Guest hanno lo stesso accesso dei membri del gruppo Utenti, ad eccezione del fatto che l'account guest ha ulteriori restrizioni. Per impostazione predefinita, l'unico membro è l'account Guest. Il gruppo Guest consente agli utenti occasionali o una tantum di accedere con privilegi limitati all'account guest predefinito di un computer.
Quando un membro del gruppo Guest si disconnette, viene eliminato l'intero profilo. L'eliminazione del profilo include tutti gli elementi archiviati nella directory %userprofile%, incluse le informazioni hive del Registro di sistema dell'utente, le icone del desktop personalizzate e altre impostazioni specifiche dell'utente. Questo significa che un guest deve usare un profilo temporaneo per accedere al sistema. Questo gruppo di sicurezza interagisce con l'impostazione di Criteri di gruppo. Quando questo gruppo di sicurezza è abilitato, non accedere agli utenti con profili temporanei. Per accedere a questa impostazione, passare a Configurazione computer>Modelli amministrativi>Sistema>Profili.
Nota
Un account guest è un membro predefinito del gruppo di sicurezza Guest. Gli utenti che non dispongono di un account specifico nel dominio possono utilizzare l'account Guest. L'account Guest può essere utilizzato anche dagli utenti per i quali l'account utente è stato disattivato ma non eliminato. L'account Guest non richiede una password. È possibile impostare diritti e autorizzazioni per l'account Guest come per qualsiasi altro account utente. Per impostazione predefinita, l'account Guest è un membro del gruppo predefinito Guests e del gruppo globale Domain Guests, che consente a un utente di accedere a un dominio. L'account Guest è disattivato per impostazione predefinita e si consiglia di non attivarlo.
Il gruppo Guest si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-546 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Domain Guests |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Amministratori Hyper-V
I membri del gruppo Amministratori Hyper-V hanno accesso completo e senza limitazioni a tutte le funzionalità di Hyper-V. L'aggiunta di membri a questo gruppo consente di ridurre il numero di membri necessari nel gruppo Administrators e di separare ulteriormente l'accesso.
Nota
Prima di Windows Server 2012, l'accesso alle funzionalità in Hyper-V era controllato in parte dall'appartenenza al gruppo Administrators.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-578 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
IIS_IUSRS
IIS_IUSRS è un gruppo predefinito usato da Internet Information Services (IIS) a partire da IIS 7. Un account e un gruppo predefiniti sono garantiti dal sistema operativo per avere sempre un SID univoco. IIS 7 sostituisce l'account IUSR_MachineName e il gruppo IIS_WPG con il gruppo IIS_IUSRS per assicurarsi che i nomi effettivi usati dal nuovo account e dal nuovo gruppo non vengano mai localizzati. Ad esempio, indipendentemente dalla lingua del sistema operativo Windows installato, il nome dell'account IIS sarà sempre IUSR e il nome del gruppo sarà IIS_IUSRS.
Per altre informazioni, vedere Informazioni sugli account utente e di gruppo predefiniti in IIS 7.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-568 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | IUSR |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Generatori di trust di foreste in ingresso
I membri del gruppo Generatori di trust foresta in ingresso possono creare trust unidirezionale in ingresso per questa foresta. Active Directory offre sicurezza in più domini o foreste tramite relazioni di trust tra domini e foreste. Prima che l'autenticazione possa verificarsi tra trust, Windows deve determinare se il dominio richiesto da un utente, un computer o un servizio ha una relazione di trust con il dominio di accesso dell'account richiedente.
Per determinare se esiste questa relazione, il sistema di sicurezza di Windows calcola un percorso di attendibilità tra il controller di dominio per il server che riceve la richiesta e un controller di dominio nel dominio dell'account richiedente. Un canale protetto si estende ad altri domini di Active Directory tramite relazioni di trust tra domini. Questo canale protetto viene usato per ottenere e verificare le informazioni di sicurezza, inclusi i SID per utenti e gruppi.
Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.
Per altre informazioni, vedere Funzionamento dei trust tra domini e foreste.
Il gruppo Trust Builders foresta in ingresso si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-557 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Amministratori chiave
I membri di questo gruppo possono eseguire azioni amministrative sugli oggetti chiave all'interno del dominio.
Il gruppo Key Admins si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-526 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Network Configuration Operators
I membri del gruppo Network Configuration Operators possono avere i seguenti privilegi amministrativi per gestire la configurazione delle funzionalità di rete:
Modificare le proprietà TCP/IP (Transmission Control Protocol/IP) per una connessione LAN (Local Area Network), che include l'indirizzo IP, la subnet mask, il gateway predefinito e i server dei nomi.
Rinominare le connessioni LAN o le connessioni di accesso remoto disponibili per tutti gli utenti.
Abilitare o disabilitare una connessione LAN.
Modificare le proprietà di tutte le connessioni di accesso remoto degli utenti.
Eliminare tutte le connessioni di accesso remoto degli utenti.
Rinominare tutte le connessioni di accesso remoto degli utenti.
Eseguire i comandi
ipconfig,ipconfig /releaseeipconfig /renew.Immettere la chiave di sblocco PIN (PUK) per i dispositivi a banda larga mobile che supportano una scheda SIM.
Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.
Il gruppo Network Configuration Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-556 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | Sì |
| Diritti utente predefiniti | None |
Performance Log Users
I membri del gruppo Performance Log Users possono gestire contatori delle prestazioni, log e avvisi localmente nel server e dai client remoti senza essere membri del gruppo Administrators. In particolare, i membri di questo gruppo di sicurezza:
Possono usare tutte le funzionalità disponibili per il gruppo Performance Monitor Users.
Può creare e modificare insiemi di agenti di raccolta dati dopo che al gruppo è assegnato il diritto sull’utilizzo di accesso come processo batch.
Avviso
Se si è membri del gruppo Performance Log Users, è necessario configurare gli insiemi di agenti di raccolta dati creati per l'esecuzione con le credenziali.
Nota
In Windows Server 2016 e versioni successive, un membro del gruppo Performance Log Users non può creare insiemi di agenti di raccolta dati. Se un membro del gruppo Performance Log Users tenta di creare degli insiemi di agenti di raccolta dati, non può completare l'azione perché l'accesso viene negato.
Non è possibile usare il provider di eventi di Traccia kernel di Windows negli insiemi di raccolta dati.
Affinché i membri del gruppo Performance Log Users avviino la registrazione dei dati o modifichino gli insiemi di agenti di raccolta dati, al gruppo deve essere assegnato il diritto sull’utilizzo di accesso come processo batch. Per assegnare questo diritto utente, usare lo snap-in Criteri di sicurezza locali in Microsoft Management Console (MMC).
Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo account non può essere rinominato, eliminato o spostato.
Il gruppo Performance Log Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-559 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | Sì |
| Diritti utente predefiniti | Accesso come processo batch: SeBatchLogonRight |
Performance Monitor Users
I membri di questo gruppo possono monitorare i contatori delle prestazioni di controller di dominio nel dominio, sia localmente che da client remoti, anche senza appartenere al gruppo Administrators o Performance Log Users. Windows Performance Monitor è uno snap-in MMC che fornisce strumenti per l'analisi delle prestazioni del sistema. Da una singola console è possibile monitorare le prestazioni delle applicazioni e dell'hardware, personalizzare i dati che si desidera raccogliere nei registri, definire soglie per avvisi e azioni automatiche, generare rapporti e visualizzare i dati delle prestazioni precedenti in diversi modi.
In particolare, i membri di questo gruppo di sicurezza:
Può usare tutte le funzionalità disponibili per il gruppo Utenti.
Può visualizzare i dati sulle prestazioni in tempo reale in Performance Monitor.
Può modificare le proprietà di visualizzazione di Performance Monitor durante la visualizzazione dei dati.
Non è possibile creare o modificare insiemi di agenti di raccolta dati.
Avviso
I membri del gruppo Utenti di Performance Monitor non possono configurare insiemi di raccolta dati.
Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.
Il gruppo Performance Monitor Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-558 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | Sì |
| Diritti utente predefiniti | None |
Accesso compatibile precedente a Windows 2000
I membri del gruppo Accesso compatibile precedente a Windows 2000 hanno accesso in lettura per tutti gli utenti e i gruppi nel dominio. Il gruppo viene fornito per la compatibilità con le versioni precedenti nel caso si utilizzino computer che eseguono Windows NT 4.0 e versioni precedenti. Per impostazione predefinita, il gruppo di identità speciale Everyone è membro di questo gruppo. Aggiungere utenti a questo gruppo solo se eseguono Windows NT 4.0 o versioni precedenti.
Avviso
Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master).
Il gruppo Accesso compatibile precedente a Windows 2000 si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-554 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Se si sceglie la modalità Autorizzazioni compatibili precedente a Windows 2000, Everyone e Anonymous sono membri. Se si sceglie la modalità di sola autorizzazione di Windows 2000, gli utenti autenticati sono membri. |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Accedere al computer dalla rete: SeNetworkLogonRight Ignorare controllo incrociato: (SeChangeNotifyPrivilege). |
Print Operators
I membri di questo gruppo possono gestire, creare, condividere ed eliminare le stampanti connesse ai controller di dominio nel dominio, Possono anche gestire gli oggetti stampante di Active Directory nel dominio. I membri di questo gruppo possono accedere e arrestare localmente i controller di dominio nel dominio.
Questo gruppo non include membri predefiniti. Poiché i membri del gruppo possono caricare e scaricare driver di dispositivo su tutti i controller di dominio nel dominio, è consigliabile aggiungervi utenti con cautela. Questo gruppo non può essere rinominato, eliminato o rimosso.
Il gruppo di operatori di stampa Print Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
Per altre informazioni, vedere Assegnare le impostazioni di autorizzazione per l'amministratore di stampa e la stampante delegate in Windows Server 2012.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-550 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Consenti accesso in locale: SeInteractiveLogonRight Caricare e scaricare i driver di dispositivo: SeLoadDriverPrivilege Arrestare il sistema: SeShutdownPrivilege |
Utenti protetti
I membri del gruppo Utenti protetti hanno una protezione aggiuntiva contro la compromissione delle credenziali durante i processi di autenticazione.
Questo gruppo di sicurezza fa parte di una strategia per proteggere e gestire efficacemente le credenziali all'interno dell'organizzazione. Agli account dei membri di questo gruppo vengono applicate automaticamente protezioni non configurabili. Per impostazione predefinita, l'appartenenza al gruppo Utenti protetti è progettata per essere restrittiva e sicura in modo proattivo. L'unico modo per modificare la protezione per un account consiste nel rimuovere l'account dal gruppo di sicurezza.
Questo gruppo globale correlato al dominio attiva la protezione non configurabile nei dispositivi e nei computer host, a partire dai sistemi operativi Windows Server 2012 R2 e Windows 8.1. Attiva inoltre la protezione non configurabile nei controller di dominio nei domini con un controller di dominio primario che esegue Windows Server 2016 o Windows Server 2012 R2. Questa protezione riduce notevolmente l'impatto delle credenziali sulla memoria quando gli utenti accedono ai computer in rete da un computer non compromesso.
A seconda del livello di funzionalità del dominio dell'account, i membri del gruppo Utenti protetti dispongono di un'ulteriore protezione grazie alle modifiche del comportamento nei metodi di autenticazione supportati in Windows.
I membri del gruppo Utenti protetti non possono eseguire l'autenticazione usando i provider di supporto per la sicurezza seguenti: NTLM, Autenticazione del digest o CredSSP. Le password non vengono memorizzate nella cache in un dispositivo che esegue Windows 10 o Windows 8.1, quindi il dispositivo non riesce a eseguire l'autenticazione in un dominio quando l'account è membro del gruppo Utenti protetti.
Il protocollo Kerberos non usa i tipi di crittografia più vulnerabili DES o RC4 nel processo di preautenticazione. Ciò significa che il dominio deve essere configurato per supportare almeno il pacchetto di crittografia AES.
L'account utente non può usare la delega Kerberos vincolata o non vincolata. Se l'utente è membro del gruppo Utenti protetti, le connessioni precedenti ad altri sistemi potrebbero non riuscire.
È possibile modificare l’impostazione della durata predefinita dei ticket di concessione ticket Kerberos (TGT), pari a quattro ore, usando Criteri di autenticazione e silo nel Centro di amministrazione di Active Directory. Nell'impostazione predefinita, quando sono trascorse quattro ore, l'utente deve eseguire di nuovo l'autenticazione.
Il gruppo Utenti protetti si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
Questo gruppo è stato introdotto in Windows Server 2012 R2. Per altre informazioni su questo gruppo, vedere Protected Users Security Group.
La seguente tabella specifica le proprietà del gruppo Utenti protetti:
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-525 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Server RAS e IAS
I computer membri del gruppo server RAS e IAS, se configurati correttamente, possono usare i servizi di accesso remoto. Per impostazione predefinita, questo gruppo non ha membri. I computer che eseguono il servizio routing e accesso remoto (RRAS) e i servizi di accesso remoto, ad esempio IAS (Internet Authentication Service) e i server dei criteri di rete vengono aggiunti automaticamente al gruppo. I membri di questo gruppo hanno accesso a determinate proprietà di oggetti Utente, ad esempio Restrizioni dell'account di lettura, Informazioni di accesso in lettura e Lettura informazioni di accesso remoto.
Il gruppo di server RAS e IAS si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-553 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | Sì |
| Diritti utente predefiniti | None |
Server endpoint Servizi Desktop remoto
I server membri del gruppo Server endpoint Servizi Desktop remoto possono eseguire macchine virtuali e sessioni host in cui vengono eseguiti i programmi RemoteApp degli utenti e i desktop virtuali personali. È necessario popolare questo gruppo nei server che eseguono Gestore connessione Desktop remoto. I server Host sessione e i server Host di virtualizzazione Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo.
Per informazioni su Servizi Desktop remoto, vedere Panoramica di Servizi Desktop remoto in Windows Server.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-576 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Server di gestione Servizi Desktop remoto
È possibile usare i server membri del gruppo Server di gestione Servizi Desktop remoto per completare le azioni amministrative di routine sui server che eseguono Servizi Desktop remoto. È necessario popolare questo gruppo in tutti i server in una distribuzione di Servizi Desktop remoto. I server che eseguono il servizio Gestione centrale Servizi Desktop remoto devono essere inclusi in questo gruppo.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-577 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Server di accesso remoto di Servizi Desktop remoto
I server nel gruppo Server Accesso remoto Servizi Desktop remoto consentono agli utenti di accedere ai programmi RemoteApp e ai desktop virtuali personali. Nelle distribuzioni con connessione Internet, questi server vengono in genere distribuiti in una rete perimetrale. È necessario popolare questo gruppo nei server che eseguono Gestore connessione Desktop remoto. I server Gateway Desktop remoto e i server Accesso Web Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo.
Per altre informazioni, vedere Panoramica di Servizi Desktop remoto in Windows Server.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-575 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Controller di dominio di sola lettura
Questo gruppo è composto dai controller di dominio di sola lettura nel dominio. Un controller di dominio di sola lettura consente alle organizzazioni di distribuire facilmente un controller di dominio in scenari in cui la sicurezza fisica non può essere garantita, ad esempio nelle succursali o quando l'archiviazione locale di tutte le password di dominio è considerata una minaccia primaria, ad esempio in un ruolo extranet o rivolto all'applicazione.
Poiché è possibile delegare l'amministrazione di un controller di dominio a un utente di dominio o a un gruppo di sicurezza, un controller di dominio di sola lettura è adatto per un sito che non deve avere un utente membro del gruppo Domain Admins. Un controller di dominio di sola lettura ha le seguenti funzionalità:
Contiene un database di Active Directory Domain Services di sola lettura
Replica unidirezionale
Memorizzazione delle credenziali nella cache
Separazione dei ruoli di amministratore
Contiene DNS (Domain Name System) di sola lettura
Per altre informazioni, vedere Understanding Planning and Deployment for Read-Only Domain Controllers.For more information, see Understanding Planning and Deployment for Read-Only Domain Controllers.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-521 |
| Digita | Generale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Replica della password del controller di dominio di sola lettura negata |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | Vedere Replica della password del controller di dominio di sola lettura negata |
Utenti desktop remoto
Usare il gruppo Utenti Desktop remoto in un server Host sessione Desktop remoto per concedere a utenti e gruppi le autorizzazioni per connettersi in remoto a un server host sessione Desktop remoto. Questo gruppo non può essere rinominato, eliminato o rimosso. Il gruppo viene visualizzato come SID fino a quando il controller di dominio non viene reso il controller di dominio primario e mantiene il ruolo FSMO (Operations Master).
Il gruppo Utenti Desktop remoto si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-555 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | Sì |
| Diritti utente predefiniti | None |
Utenti gestione remota
I membri del gruppo Utenti gestione remota possono accedere alle risorse di Strumentazione gestione Windows (WMI) su protocolli di gestione come WS-Management tramite il servizio Gestione remota Windows. L'accesso alle risorse WMI si applica solo agli spazi dei nomi WMI che concedono l'accesso all'utente.
Usare il gruppo Utenti gestione remota per consentire agli utenti di gestire i server tramite la console di Server Manager. Usare il gruppo WinRMRemoteWMIUsers\_ per consentire agli utenti di eseguire in remoto i comandi di Windows PowerShell.
Per altre informazioni, vedere Novità di MI? e Informazioni su WMI.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-580 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Replicator
I computer membri del gruppo Replicator supportano la replica di file in un dominio. I sistemi operativi Windows Server usano il servizio Replica file (FRS) per replicare i criteri di sistema e gli script di accesso archiviati nella cartella Volume di sistema (cartella sysvol). Ogni controller di dominio mantiene una copia della cartella sysvol per consentire ai client di rete di accedere. FRS può anche replicare i dati per File system distribuito (DFS) e sincronizzare il contenuto di ogni membro in un set di repliche come definito da DFS. FrS può copiare e gestire file e cartelle condivisi in più server contemporaneamente. Quando vengono fatte delle modifiche, il contenuto viene sincronizzato immediatamente all'interno dei siti e in base a una pianificazione tra siti.
Avviso
In Windows Server 2008 R2 non è possibile usare FRS per replicare cartelle DFS o dati personalizzati (non sysvol). Un controller di dominio Windows Server 2008 R2 può comunque usare FRS per replicare il contenuto della risorsa condivisa della cartella sysvol in un dominio che usa FRS per replicare la risorsa condivisa della cartella sysvol tra controller di dominio. Tuttavia, i server Windows Server 2008 R2 non possono usare FRS per replicare il contenuto di qualsiasi set di repliche ad eccezione della risorsa condivisa della cartella sysvol. Il servizio Replica DFS è una sostituzione di FRS. È possibile usare Replica DFS per replicare il contenuto di una risorsa condivisa di cartelle sysvol, cartelle DFS e altri dati personalizzati (non sysvol). È consigliabile eseguire la migrazione di tutti i set di repliche FRS non sysvol alla replica DFS.
Per altre informazioni, vedere:
- Il Servizio replica file (FRS) è deprecato in Windows Server 2008 R2 (Windows)
- Panoramica di Spazi dei nomi DFS e Replica DFS
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-552 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |
Amministratori schema
I membri del gruppo Schema Admins possono modificare lo schema di Active Directory. Questo gruppo esiste solo nel dominio radice di una foresta active Directory di domini. Questo gruppo è un gruppo universale se il dominio è in modalità nativa. Questo gruppo è un gruppo globale se il dominio è in modalità mista.
Il gruppo è autorizzato a apportare modifiche allo schema in Active Directory. Per impostazione predefinita, il solo membro del gruppo è l'account Administrator per il dominio radice della foresta. Questo gruppo ha accesso amministrativo completo allo schema.
Qualsiasi gruppo di amministratori del servizio nel dominio radice può modificare l'appartenenza a questo gruppo. Questo gruppo è considerato un account amministratore del servizio perché i relativi membri possono modificare lo schema, che regola la struttura e il contenuto dell'intera directory.
Per altre informazioni, vedere Che cos'è lo schema di Active Directory?
Il gruppo Schema Admins si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<root domain>-518 |
| Digita | Universale (se dominio è in modalità nativa) altrimenti Globale |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Amministratore |
| Membro predefinito di | Replica della password del controller di dominio di sola lettura negata |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Vedere Replica della password del controller di dominio di sola lettura negata |
Server Operators
I membri del gruppo Server Operators possono amministrare i controller di dominio. Questo gruppo esiste solo nei controller di dominio. Per impostazione predefinita, il gruppo non ha membri. I membri del gruppo Server Operators possono eseguire le azioni seguenti: accedere a un server in modo interattivo, creare ed eliminare risorse condivise di rete, avviare e arrestare i servizi, eseguire il backup e il ripristino dei file, formattare l'unità disco rigido del computer e arrestare il computer. Questo gruppo non può essere rinominato, eliminato o rimosso.
Per impostazione predefinita, questo gruppo predefinito non ha membri. Il gruppo ha accesso alle opzioni di configurazione del server nei controller di dominio. L'appartenenza è controllata dai gruppi di amministratori del servizio Amministratori e Amministratori di dominio nel dominio e dal gruppo Enterprise Admins nel dominio radice della foresta. I membri di questo gruppo non possono modificare le appartenenze ai gruppi amministrativi. Questo gruppo è considerato un account amministratore del servizio perché i membri hanno accesso fisico ai controller di dominio. I membri di questo gruppo possono eseguire attività di manutenzione come backup e ripristino e possono modificare i file binari installati nei controller di dominio. Vedere i diritti utente predefiniti del gruppo nella tabella seguente.
Il gruppo Server Operators si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-549 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | Sì |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | Consenti accesso in locale: SeInteractiveLogonRight Backup di file e directory: SeBackupPrivilege Modificare l'ora di sistema: SeSystemTimePrivilege Modificare il fuso orario: SeTimeZonePrivilege Forzare l'arresto da un sistema remoto: SeRemoteShutdownPrivilege Ripristinare file e directory: ripristinare file e directory SeRestorePrivilege Arrestare il sistema: SeShutdownPrivilege |
Amministratori della replica di archiviazione
I membri del gruppo Amministratori replica archiviazione hanno accesso completo e senza restrizioni a tutte le funzionalità di Replica di archiviazione. Il gruppo Amministratori replica di archiviazione si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-582 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Account gestiti di sistema
L'appartenenza al gruppo Account gestiti di sistema viene gestita dal sistema.
Il gruppo Account gestiti di sistema si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-581 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Utenti |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Server licenze Terminal Server
I membri del gruppo Server licenze Terminal Server possono aggiornare gli account utente in Active Directory con informazioni sul rilascio delle licenze. Il gruppo viene usato per tenere traccia e segnalare l'utilizzo di TS per utente CAL. Una licenza CAL TS per utente offre a un utente il diritto di accedere a un'istanza di Terminal Server da un numero illimitato di computer client o dispositivi. Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.
Per altre informazioni su questo gruppo di sicurezza, vedere Configurazione del gruppo di sicurezza del server licenze terminal Services.
Il gruppo Server licenze Terminal Server si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-561 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | None |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| Protetto da AdminSDHolder? | No |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | Sì |
| Diritti utente predefiniti | None |
Utenti
Ai membri del gruppo Utenti viene impedito di apportare modifiche accidentali o intenzionali a livello di sistema. I membri di questo gruppo possono eseguire la maggior parte delle applicazioni. Dopo l'installazione iniziale del sistema operativo, l'unico membro è il gruppo Authenticated Users. Quando un computer viene aggiunto a un dominio, il gruppo Domain Users viene aggiunto al gruppo Users del computer.
Gli utenti possono eseguire attività come eseguire un'applicazione, usare stampanti locali e di rete, arrestare il computer e bloccare il computer. Gli utenti possono installare applicazioni che possono usare solo se il programma di installazione dell'applicazione supporta l'installazione per utente. Questo gruppo non può essere rinominato, eliminato o rimosso.
Il gruppo Users si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
Questo gruppo di sicurezza include le modifiche seguenti a partire da Windows Server 2008:
In Windows Server 2008 R2 Interactive è stato aggiunto all'elenco dei membri predefiniti.
In Windows Server 2012 l'elenco membro predefinito è cambiato da Utenti di dominio a nessuno.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-545 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Utenti autenticati |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | No |
| Diritti utente predefiniti | None |
Accesso all'autorizzazione di Windows
I membri di questo gruppo hanno accesso all'attributo GroupsGlobalAndUniversal del token calcolato negli oggetti User. Alcune applicazioni dispongono di funzionalità che leggono l'attributo token-groups-global-and-universal (TG ROUTE) sugli oggetti dell'account utente o sugli oggetti account computer in Servizi di dominio Active Directory. Alcune funzioni Win32 semplificano la lettura dell'attributo TG ROUTE. Le applicazioni che leggono questo attributo o che chiamano un'API (una funzione) che legge questo attributo non riescono se il contesto di sicurezza chiamante non ha accesso all'attributo. Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.
Il gruppo Accesso autorizzazioni di Windows si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-32-560 |
| Digita | Builtin Local |
| Contenitore predefinito | CN=Builtin, DC=<domain>, DC= |
| Membri predefiniti | Controller di dominio organizzazione |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Non può essere spostato |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | Sì |
| Diritti utente predefiniti | None |
WinRMRemoteWMIUsers_
In Windows Server 2012 e Windows 8 è stata aggiunta una scheda Condividi all'interfaccia utente Impostazioni di sicurezza avanzate. In questa scheda vengono visualizzate le proprietà di sicurezza di una condivisione file remota. Per visualizzare queste informazioni, è necessario disporre delle autorizzazioni e delle appartenenze seguenti, come appropriato per la versione di Windows Server in cui è in esecuzione il file server.
Il gruppo WinRMRemoteWMIUsers_ si applica al sistema operativo Windows Server nei gruppi di sicurezza di Active Directory predefiniti.
Se la condivisione file è ospitata in un server che esegue una versione supportata del sistema operativo:
È necessario essere un membro del gruppo WinRMRemoteWMIUsers__ o del gruppo BUILTIN\Administrators.
È necessario disporre delle autorizzazioni di lettura per la condivisione file.
Se la condivisione file è ospitata in un server che esegue una versione di Windows Server precedente a Windows Server 2012:
L'utente deve essere membro del gruppo BUILTIN\Administrators.
È necessario disporre delle autorizzazioni di lettura per la condivisione file.
In Windows Server 2012, la funzionalità Assistenza accesso negato aggiunge il gruppo Utenti autenticati al gruppo di WinRMRemoteWMIUsers__ locale. Quando la funzionalità Assistenza accesso negato è abilitata, tutti gli utenti autenticati che dispongono delle autorizzazioni di lettura per la condivisione file possono visualizzare le autorizzazioni di condivisione file.
Nota
Il gruppo di WinRMRemoteWMIUsers__ consente di eseguire i comandi di Windows PowerShell in modalità remota. Al contrario, si usa in genere il gruppo Utenti gestione remota per consentire agli utenti di gestire i server tramite la console di Server Manager.
| Attributo | Valore |
|---|---|
| SID/RID noto | S-1-5-21-<domain>-<variable RI> |
| Digita | Locale di dominio |
| Contenitore predefinito | CN=Users, DC=<domain>, DC= |
| Membri predefiniti | Nessuno |
| Membro predefinito di | Nessuno |
| Protetto da AdminSDHolder? | No |
| È sicuro spostarlo fuori dal contenitore predefinito? | Sì |
| È sicuro delegare la gestione di questo gruppo ad amministratori non di servizio? | |
| Diritti utente predefiniti | None |