Condividi tramite

Appendice B: Guida di riferimento per account e gruppi con privilegi di Active Directory

Servizi di dominio Active Directory contiene numerosi account e gruppi predefiniti a cui vengono concessi privilegi elevati per eseguire attività amministrative. Questi account con privilegi vengono concessi potenti diritti, privilegi e autorizzazioni che consentono di eseguire quasi tutte le azioni in Active Directory e nei sistemi aggiunti a un dominio.

Questa appendice fornisce informazioni essenziali su:

  • Diritti, privilegi e autorizzazioni.
  • Gruppi di privilegi più elevati.
  • Account predefiniti e predefiniti.

Comprendere questi account e gruppi con privilegi è fondamentale per l'implementazione di efficaci strategie di monitoraggio e controlli di sicurezza. Le informazioni contenute in questa appendice fungono da base per le specifiche raccomandazioni sulla sicurezza e le linee guida sull'implementazione fornite nelle appendici corrispondenti.

Important

Gli account e i gruppi descritti in questa appendice dispongono di privilegi estesi che possono influire sull'intera foresta di Active Directory. La corretta sicurezza di questi account è fondamentale per mantenere l'integrità dell'ambiente di directory.

Diritti, privilegi e autorizzazioni in Active Directory

Le differenze tra diritti, autorizzazioni e privilegi possono generare confusione. In questa sezione vengono descritte alcune delle caratteristiche di ognuna delle quali vengono usate in questo documento. Queste descrizioni non devono essere considerate autorevoli per altre documentazioni Microsoft, perché potrebbero usare questi termini in modo diverso.

Diritti e privilegi

I diritti e i privilegi sono effettivamente le stesse funzionalità a livello di sistema concesse a entità di sicurezza come utenti, servizi, computer o gruppi. Nelle interfacce usate in genere dai professionisti IT, vengono definiti diritti o diritti utente e vengono spesso assegnati dagli oggetti Criteri di gruppo. Lo screenshot seguente mostra alcuni dei diritti utente più comuni che possono essere assegnati alle entità di sicurezza (rappresenta il criterio di gruppo predefinito dei controller di dominio in un dominio di Windows Server 2012). Alcuni di questi diritti si applicano ad Active Directory, ad esempio il diritto utente Abilitare l'attendibilità di account utente e computer per la delega, mentre altri diritti si applicano al sistema operativo Windows, ad esempio Modificare l'ora di sistema.

account e gruppi con privilegi

Nelle interfacce come l'Editor oggetti Criteri di gruppo, tutte queste capacità assegnabili vengono definite in generale diritti utente. In realtà, tuttavia, alcuni diritti utente vengono definiti a livello di codice come diritti, mentre altri vengono definiti privilegi a livello di codice. Anche se Criteri di gruppo e altre interfacce fanno riferimento a tutti questi come diritti utente, alcuni vengono identificati a livello di codice come diritti, mentre altri sono definiti come privilegi.

Per altre informazioni su ognuno dei diritti utente elencati nella tabella seguente, vedere Guida alle minacce e contromisure: Diritti utente nella guida alla mitigazione delle minacce e delle vulnerabilità per Windows Server

Note

Ai fini del presente documento, i termini diritti e diritti utente sono utilizzati per identificare diritti e privilegi se non diversamente specificato.

Permissions

Le autorizzazioni sono controlli di accesso applicati a oggetti a protezione diretta, ad esempio il file system, il Registro di sistema, il servizio e gli oggetti Active Directory. A ogni oggetto a protezione diretta è associato un elenco di controllo di accesso (ACL), che contiene voci di controllo di accesso (ACL) che concedono o negano a entità di sicurezza (utenti, servizi, computer o gruppi) la possibilità di eseguire varie operazioni sull'oggetto. Ad esempio, gli ACL per molti oggetti in Active Directory contengono ACL che consentono agli utenti autenticati di leggere informazioni generali sugli oggetti, ma non concedere loro la possibilità di leggere informazioni riservate o di modificare gli oggetti. Ad eccezione dell'account guest predefinito di ogni dominio, ogni entità di sicurezza che accede e viene autenticata da un controller di dominio in una foresta Active Directory o in una foresta attendibile ha aggiunto il SID (Authenticated Users Security Identifier) al token di accesso per impostazione predefinita. Pertanto, indipendentemente dal fatto che un utente, un servizio o un account computer tenti di leggere le proprietà generali sugli oggetti utente in un dominio, l'operazione di lettura ha esito positivo.

Se un'entità di sicurezza tenta di accedere a un oggetto per cui non sono definite cae e che contengono un SID presente nel token di accesso dell'entità, l'entità non può accedere all'oggetto. Inoltre, se un ace nell'ACL di un oggetto contiene una voce di negazione per un SID che corrisponde al token di accesso dell'utente, l'ace nega in genere esegue l'override di un ace in conflitto. Per ulteriori informazioni sul controllo di accesso in Windows, vedere Controllo di accesso nel sito Web MSDN.

All'interno di questo documento, le autorizzazioni si riferiscono alle funzionalità concesse o negate alle entità di sicurezza per gli oggetti a protezione diretta. Ogni volta che si verifica un conflitto tra un diritto utente e un'autorizzazione, il diritto utente ha in genere la precedenza. Ad esempio, se un oggetto in Active Directory è configurato con un elenco di controllo di accesso che nega agli amministratori l'accesso in lettura e scrittura a un oggetto, un utente membro del gruppo Administrators del dominio non è in grado di visualizzare molte informazioni sull'oggetto. Tuttavia, poiché al gruppo Administrators viene concesso il diritto utente Acquisire la proprietà dei file o di altri oggetti, l'utente può semplicemente assumere la proprietà dell'oggetto in questione, quindi riscrivere l'ACL dell'oggetto per concedere agli amministratori il controllo completo dell'oggetto.

Per questo motivo, questo documento incoraggia l'utente a evitare di usare account e gruppi potenti per l'amministrazione quotidiana, invece di tentare di limitare le funzionalità degli account e dei gruppi. Non è possibile impedire a un utente determinato di accedere a credenziali potenti usando tali credenziali per ottenere l'accesso a qualsiasi risorsa a protezione diretta.

Account e gruppi con privilegi predefiniti

Active Directory è progettato per facilitare la delega dell'amministrazione e il principio dei privilegi minimi nell'assegnazione di diritti e autorizzazioni. Gli utenti normali che dispongono di account in un dominio di Active Directory sono, per impostazione predefinita, in grado di leggere gran parte di ciò che viene archiviato nella directory, ma possono modificare solo un set limitato di dati nella directory. Agli utenti che richiedono privilegi aggiuntivi è possibile concedere l'appartenenza a vari gruppi con privilegi incorporati nella directory in modo che possano eseguire attività specifiche correlate ai propri ruoli, ma non possono eseguire attività non rilevanti per i propri compiti.

In Active Directory sono presenti tre gruppi predefiniti che comprendono i gruppi con privilegi più elevati nella directory, più un quarto gruppo, che è il gruppo Schema Admins (SA):

Il gruppo Schema Admins (SA) dispone di privilegi che, se utilizzati in modo improprio, possono danneggiare o distruggere un'intera foresta di Active Directory, ma questo gruppo è più limitato nelle sue funzionalità rispetto ai gruppi EA, DA e BA.

Oltre a questi quattro gruppi, in Active Directory sono disponibili molti account predefiniti e gruppi predefiniti aggiuntivi, ognuno dei quali concede diritti e autorizzazioni che consentono l'esecuzione di attività amministrative specifiche. Anche se questa appendice non fornisce una discussione approfondita di ogni gruppo predefinito o predefinito in Active Directory, fornisce una tabella dei gruppi e degli account che è più probabile visualizzare nelle installazioni.

Ad esempio, se si installa Microsoft Exchange Server in una foresta Active Directory, è possibile creare account e gruppi aggiuntivi nei contenitori Predefiniti e Utenti nei domini. Questa appendice descrive solo i gruppi e gli account creati nei contenitori Predefiniti e Utenti in Active Directory, in base a ruoli e funzionalità nativi. Gli account e i gruppi creati dall'installazione del software aziendale non sono inclusi.

Enterprise Admins

Il gruppo Enterprise Admins (EA) si trova nel dominio radice della foresta e, per impostazione predefinita, è membro del gruppo Administrators predefinito in ogni dominio della foresta. L'account Administrator incorporato nel dominio radice della foresta è l'unico membro predefinito del gruppo EA. Agli amministratori aziendali vengono concessi diritti e autorizzazioni che consentono di influire su modifiche su scala forestale. Si tratta di modifiche che influiscono su tutti i domini nella foresta, ad esempio l'aggiunta o la rimozione di domini, la creazione di trust tra foreste o l'aumento dei livelli di funzionalità della foresta. In un modello di delega progettato e implementato correttamente, l'appartenenza EA è necessaria solo quando si costruisce per la prima volta la foresta o quando si apportano determinate modifiche a livello di foresta, ad esempio la creazione di un trust forestale in uscita.

Il gruppo EA si trova per impostazione predefinita nel contenitore Users nel dominio radice della foresta ed è un gruppo di sicurezza universale, a meno che il dominio radice della foresta non sia in esecuzione in modalità mista Windows 2000 Server, nel qual caso il gruppo è un gruppo di sicurezza globale. Anche se alcuni diritti vengono concessi direttamente al gruppo EA, molti dei diritti di questo gruppo vengono ereditati dal gruppo EA perché è membro del gruppo Administrators in ogni dominio della foresta. Gli amministratori dell'organizzazione non dispongono di diritti predefiniti per workstation o server membri.

Domain Admins

Ogni dominio in una foresta ha un proprio gruppo Domain Admins (DA), che è membro del gruppo predefinito Administrators (BA) di tale dominio, oltre a un membro del gruppo Administrators locale in ogni computer aggiunto al dominio. L'unico membro predefinito del gruppo DA per un dominio è l'account amministratore predefinito per tale dominio.

I DA sono onnipotenti all'interno dei loro domini, mentre gli EA hanno privilegi su scala forestale. In un modello di delega progettato e implementato correttamente, l'appartenenza all'DA deve essere richiesta solo in scenari di rottura del vetro , ovvero situazioni in cui è necessario un account con livelli elevati di privilegi in ogni computer del dominio o quando è necessario apportare determinate modifiche a livello di dominio. Anche se i meccanismi di delega nativa di Active Directory consentono la delega nella misura in cui è possibile usare gli account DA solo in scenari di emergenza, la creazione di un modello di delega efficace può richiedere molto tempo e molte organizzazioni usano applicazioni di terze parti per accelerare il processo.

Il gruppo DA è un gruppo di sicurezza globale che si trova nel contenitore Utenti per il dominio. Esiste un gruppo DA per ogni dominio nella foresta e l'unico membro predefinito di un gruppo DA è l'account amministratore predefinito del dominio. Poiché il gruppo DA di un dominio è annidato nel gruppo BA del dominio e nel gruppo Administrators locale di ogni sistema aggiunto a un dominio, gli amministratori di dominio non dispongono solo delle autorizzazioni concesse agli amministratori di dominio, ma ereditano anche tutti i diritti e le autorizzazioni concesse al gruppo Administrators del dominio e al gruppo Administrators locale in tutti i sistemi aggiunti al dominio.

Administrators

Il gruppo predefinito Administrators (BA) è un gruppo locale di dominio in un contenitore predefinito di un dominio in cui sono annidati DA e EA e questo gruppo concede molti diritti diretti e autorizzazioni nella directory e nei controller di dominio. Tuttavia, il gruppo Administrators per un dominio non dispone di privilegi sui server membri o sulle workstation. L'appartenenza al gruppo Administrators locale dei computer aggiunti a un dominio è la posizione in cui viene concesso il privilegio locale; e dei gruppi discussi, solo i DA sono membri di tutti i gruppi Administrators locali di tutti i computer aggiunti a un dominio per impostazione predefinita.

Il gruppo Administrators è un gruppo locale di dominio nel contenitore predefinito del dominio. Per impostazione predefinita, il gruppo BA di ogni dominio contiene l'account amministratore predefinito del dominio locale, il gruppo DA del dominio locale e il gruppo EA del dominio radice della foresta. Molti diritti utente in Active Directory e nei controller di dominio vengono concessi in modo specifico al gruppo Administrators, non ai gruppi EA o DA. Al gruppo BA di un dominio vengono concesse autorizzazioni di controllo completo per la maggior parte degli oggetti directory e può assumere la proprietà degli oggetti directory. Anche se ai gruppi EA e DA vengono concesse determinate autorizzazioni specifiche dell'oggetto nella foresta e nei domini, gran parte della potenza dei gruppi viene ereditata dall'appartenenza ai gruppi BA.

Note

Anche se si tratta delle configurazioni predefinite di questi gruppi con privilegi, un membro di uno dei tre gruppi può modificare la directory per ottenere l'appartenenza a uno qualsiasi degli altri gruppi. In alcuni casi, è semplice ottenere, mentre in altri è più difficile, ma dal punto di vista del potenziale privilegio, tutti e tre i gruppi devono essere considerati effettivamente equivalenti.

Schema Admins

Il gruppo Schema Admins (SA) è un gruppo universale nel dominio radice della foresta e ha come unico membro predefinito l'account Amministratore predefinito di quel dominio, simile al gruppo EA. Anche se l'appartenenza al gruppo SA può consentire a un utente malintenzionato di compromettere lo schema di Active Directory, che è il framework per l'intera foresta di Active Directory, le SA hanno pochi diritti predefiniti e autorizzazioni oltre lo schema.

È consigliabile gestire e monitorare attentamente l'appartenenza al gruppo SA, ma in alcuni casi questo gruppo è meno privilegiato rispetto ai tre gruppi con privilegi più elevati descritti in precedenza perché l'ambito del suo privilegio è ristretto; ovvero, i contratti di servizio non dispongono di diritti amministrativi diversi dallo schema.

Gruppi predefiniti e predefiniti aggiuntivi in Active Directory

Per facilitare la delega dell'amministrazione nella directory, Active Directory viene fornito con vari gruppi incorporati e predefiniti a cui sono stati concessi diritti e autorizzazioni specifici. Questi gruppi sono descritti brevemente nella tabella seguente.

Le sezioni seguenti elencano i gruppi predefiniti e predefiniti in Active Directory. Entrambi i set di gruppi esistono per impostazione predefinita; tuttavia, i gruppi predefiniti si trovano (per impostazione predefinita) nel contenitore predefinito in Active Directory, mentre i gruppi predefiniti si trovano (per impostazione predefinita) nel contenitore Users in Active Directory. I gruppi nel contenitore predefinito sono tutti gruppi locali di dominio, mentre i gruppi nel contenitore Users sono una combinazione di gruppi Domain Local, Global e Universal, oltre a tre singoli account utente (Administrator, Guest e Krbtgt).

Oltre ai gruppi con privilegi più elevati descritti in precedenza in questa appendice, ad alcuni account e gruppi incorporati e predefiniti vengono concessi privilegi elevati e devono essere protetti e usati solo in host amministrativi sicuri. Poiché alcuni di questi gruppi e account vengono concessi diritti e autorizzazioni che possono essere usati in modo improprio per compromettere Active Directory o controller di dominio, sono concessi più protezioni, come descritto nell'Appendice C: Account protetti e gruppi in Active Directory.

Operatori di assistenza per il controllo di accesso

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono eseguire query in remoto sugli attributi di autorizzazione e sulle autorizzazioni per le risorse in questo computer.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: Active Directory in Windows Server 2012 e versioni successive.

Account Operators

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri possono amministrare account utente e gruppo di dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Administrator account

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Users, Not a group
  • Descrizione e diritti utente predefiniti: Account predefinito per l'amministrazione del dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Regolazione limite risorse memoria per un processo
    • Consenti accesso locale
    • Consenti accesso tramite Servizi Desktop remoto
    • Eseguire il backup di file e directory
    • Ignorare controllo delle traversine
    • Modificare l'ora di sistema
    • Modificare il fuso orario
    • Crea un file di paging
    • Creazione oggetti globali
    • Creazione di collegamenti simbolici
    • Debug programs
    • Abilita gli account computer e utente per essere considerati attendibili per la delega
    • Arresto forzato di un sistema remoto
    • Impersonare un cliente dopo l'autenticazione
    • Aumento di un insieme di lavoro di processo
    • Aumentare la priorità di pianificazione
    • Caricare e scaricare driver di dispositivo
    • Accedi come processo batch
    • Gestire log di audit e di sicurezza
    • Modifica dei valori di ambiente firmware
    • Eseguire attività di manutenzione del volume
    • Profilare il singolo processo
    • Creare il profilo delle prestazioni del sistema
    • Rimuovi il computer dalla stazione di docking
    • Ripristino di file e directory
    • Arresta il sistema
    • Acquisire la proprietà di file o di altri oggetti

Administrators group

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Gli amministratori hanno accesso completo e senza restrizioni al dominio.
  • Diritti utente diretti:
    • Accedi al computer dalla rete
    • Regolazione limite risorse memoria per un processo
    • Consenti accesso locale
    • Consenti accesso tramite Servizi Desktop remoto
    • Eseguire il backup di file e directory
    • Ignorare controllo delle traversine
    • Modificare l'ora di sistema
    • Modificare il fuso orario
    • Crea un file di paging
    • Creazione oggetti globali
    • Creazione di collegamenti simbolici
    • Debug programs
    • Abilita gli account computer e utente per essere considerati attendibili per la delega
    • Arresto forzato di un sistema remoto
    • Impersonare un cliente dopo l'autenticazione
    • Aumentare la priorità di pianificazione
    • Caricare e scaricare driver di dispositivo
    • Accedi come processo batch
    • Gestire log di audit e di sicurezza
    • Modifica dei valori di ambiente firmware
    • Eseguire attività di manutenzione del volume
    • Profilare il singolo processo
    • Creare il profilo delle prestazioni del sistema
    • Rimuovi il computer dalla stazione di docking
    • Ripristino di file e directory
    • Arresta il sistema
    • Acquisire la proprietà di file o di altri oggetti
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Gruppo consentito di replica delle password per il controller di dominio di sola lettura

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono avere le password replicate in tutti i controller di dominio di sola lettura nel dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Backup Operators

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Gli operatori di backup possono ignorare le restrizioni di sicurezza solo allo scopo di eseguire il backup o il ripristino dei file.
  • Diritti utente diretti:
    • Consenti accesso locale
    • Eseguire il backup di file e directory
    • Accedi come processo batch
    • Ripristino di file e directory
    • Arresta il sistema
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Cert Publishers

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono pubblicare i certificati nella directory.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Accesso DCOM al servizio di certificati

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Se Servizi certificati è installato in un controller di dominio (non consigliato), questo gruppo concede l'accesso alla registrazione DCOM a Utenti di dominio e computer di dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Controller di dominio clonabili

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo che sono controller di dominio possono essere clonati.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: Active Directory in Windows Server 2012 e versioni successive.

Cryptographic Operators

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri sono autorizzati a eseguire operazioni di crittografia.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Debugger Users

  • Contenitore predefinito, Ambito gruppo e tipo: Non si tratta né di un gruppo predefinito né di un gruppo predefinito, ma quando presente in Active Directory Domain Services, è causa di ulteriori indagini.
  • Descrizione e diritti utente predefiniti: La presenza di un gruppo Utenti debugger indica che gli strumenti di debug sono stati installati nel sistema a un certo punto, sia tramite Visual Studio, SQL, Office o altre applicazioni che richiedono e supportano un ambiente di debug. Questo gruppo consente l'accesso al debug in remoto dei computer. Quando questo gruppo esiste a livello di dominio, indica che un debugger o un'applicazione che contiene un debugger è stato installato in un controller di dominio.

Gruppo negato di replica password del controller di dominio di sola lettura

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo non possono avere le password replicate in qualsiasi controller di dominio di sola lettura nel dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

DHCP Administrators

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo hanno accesso amministrativo al servizio server DHCP.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

DHCP Users

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo dispongono dell'accesso di sola visualizzazione al servizio server DHCP.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Utenti COM Distribuiti

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono avviare, attivare e usare oggetti COM distribuiti in questo computer.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

DnsAdmins

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo hanno accesso amministrativo al servizio server DNS.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

DnsUpdateProxy

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo sono client DNS autorizzati a eseguire aggiornamenti dinamici per conto dei client che non possono eseguire aggiornamenti dinamici. I membri di questo gruppo sono in genere server DHCP.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Domain Admins

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: Amministratori designati del dominio; Domain Admins è membro del gruppo Administrators locale di ogni computer aggiunto al dominio e riceve diritti e autorizzazioni concessi al gruppo Administrators locale, oltre al gruppo Administrators del dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Regolazione limite risorse memoria per un processo
    • Consenti accesso locale
    • Consenti accesso tramite Servizi Desktop remoto
    • Eseguire il backup di file e directory
    • Ignorare controllo delle traversine
    • Modificare l'ora di sistema
    • Modificare il fuso orario
    • Crea un file di paging
    • Creazione oggetti globali
    • Creazione di collegamenti simbolici
    • Debug programs
    • Abilita gli account computer e utente per essere considerati attendibili per la delega
    • Arresto forzato di un sistema remoto
    • Impersonare un cliente dopo l'autenticazione
    • Aumento di un insieme di lavoro di processo
    • Aumentare la priorità di pianificazione
    • Caricare e scaricare driver di dispositivo
    • Accedi come processo batch
    • Gestire log di audit e di sicurezza
    • Modifica dei valori di ambiente firmware
    • Eseguire attività di manutenzione del volume
    • Profilare il singolo processo
    • Creare il profilo delle prestazioni del sistema
    • Rimuovi il computer dalla stazione di docking
    • Ripristino di file e directory
    • Arresta il sistema
    • Acquisire la proprietà di file o di altri oggetti

Domain Computers

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: Tutte le workstation e i server aggiunti al dominio sono per impostazione predefinita membri di questo gruppo.
  • Diritti utente diretti predefiniti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Domain Controllers

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: Tutti i controller di dominio nel dominio. Nota: i controller di dominio non sono membri del gruppo Domain Computers.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Domain Guests

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: Tutti gli utenti guest nel dominio
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Domain Users

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: Tutti gli utenti nel dominio
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Enterprise Admins

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza universale
  • Descrizione e diritti utente predefiniti: Gli amministratori dell'organizzazione dispongono delle autorizzazioni per modificare le impostazioni di configurazione a livello di foresta; Enterprise Admins è membro del gruppo Administrators di ogni dominio e riceve diritti e autorizzazioni concessi a tale gruppo.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Regolazione limite risorse memoria per un processo
    • Consenti accesso locale
    • Consenti accesso tramite Servizi Desktop remoto
    • Eseguire il backup di file e directory
    • Ignorare controllo delle traversine
    • Modificare l'ora di sistema
    • Modificare il fuso orario
    • Crea un file di paging
    • Creazione oggetti globali
    • Creazione di collegamenti simbolici
    • Debug programs
    • Abilita gli account computer e utente per essere considerati attendibili per la delega
    • Arresto forzato di un sistema remoto
    • Impersonare un cliente dopo l'autenticazione
    • Aumento di un insieme di lavoro di processo
    • Aumentare la priorità di pianificazione
    • Caricare e scaricare driver di dispositivo
    • Accedi come processo batch
    • Gestire log di audit e di sicurezza
    • Modifica dei valori di ambiente firmware
    • Eseguire attività di manutenzione del volume
    • Profilare il singolo processo
    • Creare il profilo delle prestazioni del sistema
    • Rimuovi il computer dalla stazione di docking
    • Ripristino di file e directory
    • Arresta il sistema
    • Acquisire la proprietà di file o di altri oggetti
  • Note: esiste solo nel dominio radice della foresta.

Controller di dominio di sola lettura aziendale

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza universale
  • Descrizione e diritti utente predefiniti: Questo gruppo contiene gli account per tutti i controller di dominio di sola lettura nella foresta.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Lettori di registri eventi

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo in possono leggere i registri eventi nei controller di dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Proprietari autori criteri di gruppo

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono creare e modificare oggetti Criteri di gruppo nel dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Guest

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Users, Not a group
  • Descrizione e diritti utente predefiniti: Si tratta dell'unico account in un dominio di Active Directory Domain Services che non dispone del SID Utenti autenticati aggiunto al token di accesso. Pertanto, tutte le risorse configurate per concedere l'accesso al gruppo Users autenticati non saranno accessibili a questo account. Questo comportamento non è vero per i membri dei gruppi Domain Guest e Guest, ma i membri di tali gruppi hanno il SID Utenti autenticati aggiunto ai token di accesso.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Guests

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Gli utenti guest hanno lo stesso accesso ai membri del gruppo Users per impostazione predefinita, ad eccezione dell'account Guest, che è ulteriormente limitato come descritto in precedenza.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Hyper-V Administrators

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo hanno accesso completo e senza restrizioni a tutte le funzionalità di Hyper-V.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: Windows Server 2012 e versioni successive.

IIS_IUSRS

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Gruppo predefinito utilizzato da Internet Information Services.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Generatori di trust di foreste in ingresso

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono creare trust unidirezionale in ingresso per questa foresta. La creazione di trust tra foreste in uscita è riservata agli amministratori dell'organizzazione. I membri di questo gruppo possono creare trust in ingresso che consentono la delega TGT che può causare la compromissione della foresta. Per ulteriori informazioni sulla delega di TGT attraverso l'attendibilità in ingresso, Aggiornamenti alla delega di TGT tra trust in ingresso in Windows Server.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: esiste solo nel dominio radice della foresta.

Krbtgt

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Users, Not a group
  • Descrizione e diritti utente predefiniti: L'account Krbtgt è l'account del servizio per il Centro distribuzione chiavi Kerberos nel dominio. Questo account ha accesso alle credenziali di tutti gli account archiviati in Active Directory. Questo account è disabilitato per impostazione predefinita e non deve mai essere abilitato
  • Diritti dell'utente: N/A

Operatori di Configurazione della Rete

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Ai membri di questo gruppo vengono concessi privilegi che consentono di gestire la configurazione delle funzionalità di rete.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Utenti del Registro delle Prestazioni

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono pianificare la registrazione dei contatori delle prestazioni, abilitare i provider di traccia e raccogliere le tracce degli eventi in locale e tramite accesso remoto al computer.
  • Diritti utente diretti:
    • Accedi come processo batch
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Utenti del monitoraggio delle prestazioni

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono accedere ai dati dei contatori delle prestazioni in locale e in remoto.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Accesso compatibile precedente a Windows 2000

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Questo gruppo esiste per garantire la compatibilità con le versioni precedenti ai sistemi operativi precedenti a Windows 2000 Server e consente ai membri di leggere le informazioni sull'utente e sul gruppo nel dominio.
  • Diritti utente diretti:
    • Accedi al computer dalla rete
    • Ignorare controllo delle traversine
  • Diritti utente ereditati:
    • Aggiunta di workstation al dominio
    • Aumento di un insieme di lavoro di processo
  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono amministrare le stampanti di dominio.
  • Diritti utente diretti:
    • Consenti accesso locale
    • Caricare e scaricare driver di dispositivo
    • Arresta il sistema
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Server RAS e IAS

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I server in questo gruppo possono leggere le proprietà di accesso remoto negli account utente nel dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Server endpoint Servizi Desktop remoto

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I server in questo gruppo eseguono macchine virtuali e ospitano sessioni in cui vengono eseguiti i programmi RemoteApp e i desktop virtuali personali. Questo gruppo deve essere popolato nei server che eseguono il Broker di connessione RD. I server Host sessione Desktop remoto e i server Host di virtualizzazione Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: Windows Server 2012 e versioni successive.

Server di gestione Servizi Desktop remoto

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I server in questo gruppo possono eseguire azioni amministrative di routine sui server che eseguono Servizi Desktop remoto. Questo gruppo deve essere popolato in tutti i server in una distribuzione di Servizi Desktop remoto. I server che eseguono il servizio di Gestione centrale Desktop remoto devono essere inclusi in questo gruppo.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: Windows Server 2012 e versioni successive.

Server di accesso remoto di Servizi Desktop remoto

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I server in questo gruppo consentono agli utenti di programmi RemoteApp e desktop virtuali personali di accedere a queste risorse. Nelle distribuzioni con connessione Internet, questi server vengono in genere distribuiti in una rete perimetrale. Questo gruppo deve essere popolato nei server che eseguono il Broker di connessione RD. I server Gateway RD e i server Accesso Web RD utilizzati nella distribuzione devono essere in questo gruppo.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: Windows Server 2012 e versioni successive.

Controller di dominio di sola lettura

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza globale
  • Descrizione e diritti utente predefiniti: Questo gruppo contiene tutti i controller di dominio di sola lettura nel dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Utenti desktop remoto

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Ai membri di questo gruppo viene concesso il diritto di accedere in modalità remota tramite RDP.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Utenti gestione remota

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono accedere alle risorse WMI tramite protocolli di gestione (ad esempio WS-Management tramite il servizio Gestione remota Windows). Questo vale solo per gli spazi dei nomi WMI che concedono l'accesso all'utente.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: Windows Server 2012 e versioni successive.

Replicator

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Supporta la replica di file legacy in un dominio.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Schema Admins

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza universale
  • Descrizione e diritti utente predefiniti: Gli amministratori dello schema sono gli unici utenti che possono apportare modifiche allo schema di Active Directory e solo se lo schema è abilitato per la scrittura.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: esiste solo nel dominio radice della foresta.

Server Operators

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono amministrare i controller di dominio.
  • Diritti utente diretti:
    • Consenti accesso locale
    • Eseguire il backup di file e directory
    • Modificare l'ora di sistema
    • Modificare il fuso orario
    • Arresto forzato di un sistema remoto
    • Ripristino di file e directory
    • Arresta il sistema
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Server di licenze Terminal Server

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono aggiornare gli account utente in Active Directory con informazioni sul rilascio delle licenze, allo scopo di tenere traccia e segnalare l'utilizzo di TS per utente CAL
  • Diritti utente diretti predefiniti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

Users

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: Gli utenti dispongono delle autorizzazioni che consentono di leggere molti oggetti e attributi in Active Directory, anche se non possono modificare la maggior parte. Gli utenti non possono apportare modifiche accidentali o intenzionali a livello di sistema e possono eseguire la maggior parte delle applicazioni.
  • Diritti utente diretti:
    • Aumento di un insieme di lavoro di processo
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine

Gruppo di accesso autorizzato di Windows

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore predefinito, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo hanno accesso all'attributo tokenGroupsGlobalAndUniversal calcolato negli oggetti User
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo

WinRMRemoteWMIUsers_

  • Contenitore predefinito, Ambito gruppo e tipo: Contenitore Utenti, gruppo di sicurezza locale del dominio
  • Descrizione e diritti utente predefiniti: I membri di questo gruppo possono accedere alle risorse WMI tramite protocolli di gestione (ad esempio WS-Management tramite il servizio Gestione remota Windows). Questo vale solo per gli spazi dei nomi WMI che concedono l'accesso all'utente.
  • Diritti utente diretti: Nessuno
  • Diritti utente ereditati:
    • Accedi al computer dalla rete
    • Aggiunta di workstation al dominio
    • Ignorare controllo delle traversine
    • Aumento di un insieme di lavoro di processo
  • Note: Windows Server 2012 e versioni successive.