Gruppi di sicurezza di Active Directory

Questo articolo illustra i gruppi di sicurezza predefiniti di Active Directory, l'ambito del gruppo e le funzioni di gruppo.

Che cos'è un gruppo di sicurezza in Active Directory?

Active Directory ha due forme di entità di sicurezza comuni: account utente e account computer. Questi account rappresentano un'entità fisica che è una persona o un computer. Un account utente può essere usato anche come account di servizio dedicato per alcune applicazioni.

I gruppi di sicurezza sono un modo per raccogliere account utente, account computer e altri gruppi in unità gestibili.

Nel sistema operativo Windows Server, diversi account predefiniti e gruppi di sicurezza sono preconfigurati con i diritti e le autorizzazioni appropriate per eseguire attività specifiche. In Active Directory le responsabilità amministrative sono separate in due tipi di amministratori:

• Amministratori del servizio: responsabile della gestione e della distribuzione di Active Directory Domain Services (AD DS), inclusa la gestione dei controller di dominio e la configurazione di Active Directory Domain Services
• Amministratori dei dati: responsabile della gestione dei dati archiviati in Servizi di dominio Active Directory e nei server membri del dominio e nelle workstation

Funzionamento dei gruppi di sicurezza di Active Directory

È possibile usare i gruppi per raccogliere account utente, account computer e altri gruppi in unità gestibili. L'uso di gruppi anziché con singoli utenti consente di semplificare la manutenzione e l'amministrazione della rete.

Active Directory ha due tipi di gruppi:

• Gruppi di sicurezza: consente di assegnare autorizzazioni alle risorse condivise.
• Gruppi di distribuzione: consente di creare liste di distribuzione di posta elettronica.

Gruppi di sicurezza

I gruppi di sicurezza possono offrire un modo efficiente per assegnare l'accesso alle risorse nella rete. È possibile utilizzare i gruppi di sicurezza per eseguire le operazioni seguenti:

• Assegnare i diritti utente ai gruppi di sicurezza in Active Directory.

  È possibile assegnare diritti utente a un gruppo di sicurezza per determinare quali membri di tale gruppo possono eseguire all'interno dell'ambito di un dominio o di una foresta. I diritti utente vengono assegnati automaticamente ad alcuni gruppi di sicurezza quando Active Directory viene installato per aiutare gli amministratori a definire il ruolo amministrativo di una persona nel dominio.

  Ad esempio, un utente aggiunto al gruppo Backup Operators in Active Directory può eseguire il backup e il ripristino di file e directory che si trovano in ogni controller di dominio nel dominio. L'utente può completare queste azioni perché, per impostazione predefinita, i diritti utente File di backup e directory e Ripristina file e directory vengono automaticamente assegnati al gruppo Operatori di backup. Pertanto, i membri di questo gruppo ereditano i diritti utente assegnati a tale gruppo.

  È possibile usare Criteri di gruppo per assegnare i diritti utente ai gruppi di sicurezza per delegare attività specifiche. Per altre informazioni sull'uso di Criteri di gruppo, vedere Assegnazione diritti utente.

• Assegnare autorizzazioni per le risorse ai gruppi di sicurezza.

  Le autorizzazioni si differenziano dai diritti utente. Le autorizzazioni vengono assegnate a un gruppo di sicurezza per una risorsa condivisa. Le autorizzazioni definiscono chi può accedere alla risorsa e il livello di accesso, ad esempio Controllo completo o Lettura. Alcune autorizzazioni impostate sugli oggetti dominio vengono assegnate automaticamente per attribuire vari livelli di accesso ai gruppi di sicurezza predefiniti, ad esempio il gruppo Account Operators o Domain Admins.

  I gruppi di sicurezza sono elencati negli elenchi di controllo di accesso discrezionale (DACL) che definiscono le autorizzazioni per le risorse e gli oggetti. Quando gli amministratori assegnano autorizzazioni per risorse come condivisioni file o stampanti, devono assegnare tali autorizzazioni a un gruppo di sicurezza anziché a singoli utenti. Le autorizzazioni vengono assegnate una sola volta al gruppo anziché più volte a ogni singolo utente. Ogni account aggiunto a un gruppo riceve i diritti assegnati a tale gruppo in Active Directory. L'utente riceve le autorizzazioni definite per tale gruppo.

È possibile usare un gruppo di sicurezza come entità di posta elettronica. L'invio di un messaggio di posta elettronica al gruppo di sicurezza determina l'invio del messaggio a tutti i membri del gruppo.

Gruppi di distribuzione

È possibile usare i gruppi di distribuzione solo per inviare messaggi di posta elettronica alle raccolte di utenti usando un'applicazione di posta elettronica come Exchange Server. I gruppi di distribuzione non sono abilitati per la sicurezza, quindi non è possibile includerli in DACL.

Ambito del gruppo

Ogni gruppo ha un ambito che identifica il campo di applicazione del gruppo nell'albero o nella foresta di dominio. L'ambito di un gruppo definisce le aree della rete in cui è possibile concedere le autorizzazioni per il gruppo. Active Directory definisce i tre ambiti di gruppo seguenti:

• Universal
• Global
• Dominio locale

La tabella seguente descrive i tre ambiti di gruppo e il relativo funzionamento come gruppi di sicurezza:

Gruppi di identità speciali

Un gruppo di identità speciale è dove alcune identità speciali vengono raggruppate. I gruppi di identità speciali non dispongono di appartenenze specifiche che è possibile modificare, ma possono rappresentare utenti diversi in momenti diversi a seconda delle circostanze. Questi gruppi includono Creator Owner, Batch e Authenticated User.

Per altre informazioni, vedere Gruppi di identità speciali.

Gruppi di sicurezza predefiniti

I gruppi predefiniti come il gruppo Domain Admins sono gruppi di sicurezza creati automaticamente quando si crea un dominio di Active Directory. Questi gruppi predefiniti consentono di controllare l'accesso alle risorse condivise e delegare ruoli amministrativi specifici a livello di dominio.

A molti gruppi predefiniti viene assegnato automaticamente un set di diritti utente. Questi diritti autorizzano i membri del gruppo a eseguire azioni specifiche in un dominio, ad esempio l'accesso a un sistema locale o il backup di file e cartelle. Un membro del gruppo Backup Operators ha, ad esempio, il diritto di eseguire operazioni di backup per tutti i controller di dominio nel dominio.

Quando si aggiunge un utente a un gruppo, l'utente riceve tutti i diritti utente e tutte le autorizzazioni assegnate al gruppo per qualsiasi risorsa condivisa.

I gruppi predefiniti si trovano nel contenitore Builtin o nel contenitore Users nello strumento Utenti e computer di Active Directory. Il contenitore Builtin include gruppi definiti con l'ambito Domain Local. Il contenitore Users include i gruppi definiti con ambito globale e quelli definiti con ambito locale di dominio. È possibile spostare i gruppi che si trovano in questi contenitori in altri gruppi o unità organizzative all'interno del dominio. Ma non è possibile spostarli in altri domini.

Alcuni dei gruppi amministrativi elencati in questo articolo e tutti i membri di questi gruppi sono protetti da un processo in background che verifica periodicamente e applica un descrittore di sicurezza specifico. Questo descrittore è una struttura di dati che contiene le informazioni sulla sicurezza associate a un oggetto protetto. Questo processo assicura che qualunque tentativo non autorizzato di modificare il descrittore di sicurezza in uno degli account amministrativi o dei gruppi venga sovrascritto con le impostazioni protette.

Questo descrittore di sicurezza si trova nell'oggetto AdminSDHolder. Se si vogliono modificare le autorizzazioni per uno dei gruppi di amministratori dei servizi o per uno dei relativi account membri, è necessario modificare il descrittore di sicurezza nell'oggetto AdminSDHolder in modo che venga applicato in modo coerente. Prestare attenzione quando si apportano queste modifiche, perché vengono modificate di conseguenza anche le impostazioni predefinite applicate a tutti gli account amministrativi protetti.

Ogni gruppo di sicurezza predefinito ha un identificatore univoco costituito da più componenti. Tra questi componenti è presente un ID relativo (RID), univoco all'interno del dominio del gruppo.

Gruppi di sicurezza di Active Directory predefiniti

I collegamenti seguenti portano a descrizioni dei gruppi predefiniti che si trovano nel contenitore Builtin o nel contenitore Users in Active Directory.

• Operatori di assistenza per il controllo di accesso
• Operatori degli account
• Administrators
• Replica password del controller di dominio di sola lettura consentita
• Operatori di backup
• Accesso DCOM al servizio certificati
• Server di pubblicazione di certificati
• Controller di dominio clonabili
• Operatori di crittografia
• Replica della password del controller di dominio di sola lettura negata
• Proprietari di dispositivi
• Amministratori DHCP
• Utenti DHCP
• Utenti COM distribuiti
• DnsUpdateProxy
• DnsAdmins
• Amministratori di dominio
• Computer di dominio
• Controller di dominio
• Ospiti del dominio
• Utenti di dominio
• Enterprise Admins
• Amministratori chiave dell'organizzazione
• Controller di dominio di sola lettura organizzazione
• Lettori del registro eventi
• Proprietari autori criteri di gruppo
• Guests
• Hyper-V Amministratori
• IIS_IUSRS
• Generatori di trust tra foreste in ingresso
• Amministratori chiave
• Operatori di configurazione di rete
• Utenti del registro delle prestazioni
• Utenti di Performance Monitor
• Accesso compatibile precedente a Windows 2000
• Operatori di stampa
• Utenti protetti
• Server RAS e IAS
• Server endpoint Servizi Desktop remoto
• Server di gestione Servizi Desktop remoto
• Server di accesso remoto di Servizi Desktop remoto
• Controller di dominio di sola lettura
• Utenti desktop remoto
• Utenti gestione remota
• Replicator
• Amministratori dello schema
• Operatori server
• Amministratori della replica di archiviazione
• Account gestiti di sistema
• Server licenze Terminal Server
• Users
• Accesso all'autorizzazione di Windows
• WinRMRemoteWMIUsers__

Operatori di assistenza per il controllo di accesso

I membri di questo gruppo possono eseguire query in remoto sugli attributi di autorizzazione e sulle autorizzazioni per le risorse nel computer. Questo gruppo non può essere rinominato, eliminato o rimosso.

Operatori di Account

Il gruppo Account Operators concede privilegi limitati di creazione dell'account a un utente. I membri di questo gruppo possono creare e modificare la maggior parte dei tipi di account, inclusi gli account per gli utenti, i gruppi locali e i gruppi globali. I membri del gruppo possono accedere localmente ai controller di dominio.

I membri del gruppo Account Operators non possono modificare i diritti utente. Inoltre, i membri di questo gruppo non possono gestire i seguenti account e gruppi:

• Account utente amministratore
• Account utente degli amministratori
• Administrators
• Operatori server
• Operatori degli account
• Operatori di backup
• Operatori di stampa

Questo gruppo non può essere rinominato, eliminato o rimosso.

Administrators

I membri del gruppo Administrators hanno accesso completo e senza restrizioni al computer. Se il computer viene alzato di livello a un controller di dominio, i membri del gruppo Administrators hanno accesso senza restrizioni al dominio.

Replica password del controller di dominio di sola lettura consentita

Lo scopo di questo gruppo di sicurezza è gestire i criteri di replica delle password del controller di dominio di sola lettura. Questo gruppo non ha membri per impostazione predefinita. Di conseguenza, i nuovi RODC non memorizzano nella cache le credenziali utente. Il gruppo di replica password del controller di dominio di sola lettura contiene vari account con privilegi elevati e gruppi di sicurezza. Il gruppo Replica password controller di dominio di sola lettura ha sostituito il gruppo di replica password di controller di dominio di sola lettura consentito. Questo gruppo non può essere rinominato, eliminato o rimosso.

Operatori di backup

I membri del gruppo Backup Operators possono eseguire il backup e il ripristino di tutti i file in un computer, indipendentemente dalle autorizzazioni che proteggono tali file. Gli operatori di backup possono anche accedere al computer e spegnerlo. Questo gruppo non può essere rinominato, eliminato o rimosso. Per impostazione predefinita, questo gruppo predefinito non ha membri e può eseguire operazioni di backup e ripristino nei controller di dominio. I membri dei gruppi seguenti possono modificare l'appartenenza al gruppo Backup Operators: amministratori del servizio predefiniti, Amministratori di dominio nel dominio ed Enterprise Admins. I membri del gruppo Backup Operators non possono modificare l'appartenenza di alcun gruppo amministrativo. Anche se i membri di questo gruppo non possono modificare le impostazioni del server o modificare la configurazione della directory, dispongono delle autorizzazioni necessarie per sostituire i file (inclusi i file del sistema operativo) nei controller di dominio. Poiché i membri di questo gruppo possono sostituire i file nei controller di dominio, vengono considerati amministratori del servizio.

Accesso DCOM al servizio certificati

I membri di questo gruppo possono connettersi alle autorità di certificazione nell'organizzazione. Questo gruppo non può essere rinominato, eliminato o rimosso.

Server di pubblicazione di certificati

I membri del gruppo Cert Publishers sono autorizzati a pubblicare certificati per gli oggetti utente in Active Directory. Questo gruppo non può essere rinominato, eliminato o rimosso.

Controller di dominio clonabili

I membri del gruppo Controller di dominio clonabili che sono controller di dominio possono essere clonati. In Windows Server 2012 R2 e Windows Server 2012 è possibile distribuire controller di dominio copiando un controller di dominio virtuale esistente. In un ambiente virtuale non è possibile distribuire ripetutamente un'immagine del server preparata usando lo Sysprep.exe strumento . Non è consentito promuovere il server a controller di dominio e completare pertanto ulteriori requisiti di configurazione per la distribuzione di ciascun controller di dominio (compresa l'aggiunta del controller di dominio virtuale a questo gruppo di sicurezza). Questo gruppo non può essere rinominato, eliminato o rimosso.

Per altre informazioni, vedere virtualizzazione sicura di Active Directory Domain Services (AD DS).

Operatori di crittografia

I membri di questo gruppo sono autorizzati a eseguire operazioni di crittografia. Questo gruppo di sicurezza configura Windows Firewall per IPsec in modalità Criteri comuni. Questo gruppo non può essere rinominato, eliminato o rimosso.

Replica della password del controller di dominio di sola lettura negata

Le password dei membri del gruppo di replica password del controller di dominio di sola lettura negato non possono essere replicate in alcun controller di dominio di sola lettura.

Lo scopo di questo gruppo di sicurezza è gestire i criteri di replica delle password del controller di dominio di sola lettura. Questo gruppo contiene vari account con privilegi elevati e gruppi di sicurezza. Il gruppo Replica password controller di dominio di sola lettura ha sostituito il gruppo di replica password di controller di dominio di sola lettura consentito.

Proprietari di dispositivi

Quando il gruppo Proprietari dispositivi non ha membri, è consigliabile non modificare la configurazione predefinita per questo gruppo di sicurezza. La modifica della configurazione predefinita potrebbe ostacolare scenari futuri che si basano su questo gruppo. Il gruppo Proprietari di dispositivi attualmente non viene usato in Windows.

Amministratori DHCP

I membri del gruppo Amministratori DHCP possono creare, eliminare e gestire varie aree dell'ambito del server. I diritti di gruppo includono la possibilità di eseguire il backup e il ripristino del database DHCP (Dynamic Host Configuration Protocol). Anche se questo gruppo dispone di diritti amministrativi, non fa parte del gruppo Administrators perché questo ruolo è limitato ai servizi DHCP.

Utenti DHCP

I membri del gruppo Utenti DHCP possono vedere quali ambiti sono attivi o inattivi, inclusi gli indirizzi IP assegnati. I membri del gruppo possono anche visualizzare i problemi di connettività se il server DHCP non è configurato correttamente. Questo gruppo è limitato all'accesso in sola lettura al server DHCP.

Utenti COM Distribuiti

I membri del gruppo Distributed COM Users possono avviare, attivare e usare oggetti Distributed Component Object Model (DCOM) nel computer. COM (Component Object Model) è un sistema orientato all'oggetto, distribuito e indipendente dalla piattaforma per la creazione di componenti software binari in grado di interagire. Quando si usano oggetti DCOM, è possibile distribuire le applicazioni tra le posizioni più utili per l'utente e per le applicazioni. Questo gruppo viene visualizzato come SID fino a quando il controller di dominio non viene reso controller di dominio primario e acquisisce il ruolo di master delle operazioni, denominato anche ruolo FSMO (Flexible Single Master Operations). Questo gruppo non può essere rinominato, eliminato o rimosso.

DnsUpdateProxy

I membri del gruppo DnsUpdateProxy sono client DNS (Domain Name System). È consentito eseguire aggiornamenti dinamici per conto di altri client, ad esempio i server DHCP. Un server DNS può sviluppare record di risorse non aggiornati quando un server DHCP è configurato per registrare dinamicamente i record di risorse host (A) e puntatore (PTR) per conto dei client DHCP tramite l'aggiornamento dinamico. L'aggiunta di client a questo gruppo di sicurezza riduce questo scenario.

Per proteggersi da record non protetti o per consentire ai membri del gruppo DnsUpdateProxy di registrare i record nelle zone che consentono solo gli aggiornamenti dinamici protetti, è necessario creare un account utente dedicato. È inoltre necessario configurare i server DHCP per eseguire gli aggiornamenti dinamici DNS usando il nome utente, la password e il dominio di questo account. Più server DHCP possono usare le credenziali di un account utente dedicato. Questo gruppo esiste solo se il ruolo del server DNS è o è stato installato in un controller di dominio nel dominio.

Per altre informazioni, vedere Proprietà dei record DNS e gruppo DnsUpdateProxy.

DnsAdmins

I membri del gruppo DnsAdmins hanno accesso alle informazioni DNS di rete. Per impostazione predefinita, ai membri di questo gruppo vengono assegnate le autorizzazioni consentite seguenti: Lettura, Scrittura, Crea tutti gli oggetti figlio, Elimina oggetti figlio e Autorizzazioni speciali. Questo gruppo esiste solo se il ruolo del server DNS è o è stato installato in un controller di dominio nel dominio.

Per altre informazioni sulla sicurezza e sul DNS, vedere DNSSEC in Windows Server 2012.

Amministratori di Dominio

I membri del gruppo di sicurezza Domain Admins sono autorizzati ad amministrare il dominio. Per impostazione predefinita, il gruppo Domain Admins è un membro del gruppo Administrators in tutti i computer che vengono aggiunti a un dominio, inclusi i controller di dominio. Il gruppo Domain Admins è il proprietario predefinito di qualsiasi oggetto creato in Active Directory per il dominio da qualsiasi membro del gruppo. Se i membri del gruppo creano altri oggetti, ad esempio i file, il proprietario predefinito è il gruppo Administrators.

Il gruppo Domain Admins controlla l'accesso a tutti i controller di dominio in un dominio e può modificare l'appartenenza di tutti gli account amministrativi nel dominio. I membri dei gruppi di amministratori del servizio nel relativo dominio (Amministratori e Amministratori di dominio) e i membri del gruppo Enterprise Admins possono modificare l'appartenenza a Domain Admins. Questo gruppo è considerato un account amministratore del servizio perché i relativi membri hanno accesso completo ai controller di dominio in un dominio.

Computer del dominio

Questo gruppo può includere tutti i computer e i server che fanno parte del dominio, esclusi i controller di dominio. Per impostazione predefinita, qualsiasi account computer creato diventa automaticamente membro di questo gruppo.

Controller di dominio

Il gruppo Controller di dominio può includere tutti i controller di dominio nel dominio. I nuovi controller di dominio vengono aggiunti automaticamente a questo gruppo.

Ospiti del Dominio

Il gruppo Domain Guest include l'account guest predefinito del dominio. Quando i membri di questo gruppo accedono come guest locali a un computer aggiunto a un dominio, viene creato un profilo di dominio nel computer locale.

Utenti del Dominio

Il gruppo Domain Users include tutti gli account utente in un dominio. Quando si crea un account utente in un dominio, questo viene aggiunto a questo gruppo per impostazione predefinita.

È possibile usare questo gruppo per rappresentare tutti gli utenti nel dominio. Ad esempio, se si desidera che tutti gli utenti di dominio abbiano accesso a una stampante, è possibile assegnare autorizzazioni per la stampante a questo gruppo. In alternativa, è possibile aggiungere il gruppo Domain Users a un gruppo Locale nel server di stampa con autorizzazioni per la stampante.

Amministratori aziendali

Il gruppo Enterprise Admins esiste solo nel dominio radice di una foresta Active Directory di domini. Il gruppo è un gruppo universale se il dominio è in modalità nativa. Il gruppo è un gruppo globale se il dominio è in modalità mista. I membri di questo gruppo sono autorizzati a apportare modifiche a livello di foresta in Active Directory, ad esempio l'aggiunta di domini figlio.

Per impostazione predefinita, il solo membro del gruppo è l'account Administrator per il dominio radice della foresta. Questo gruppo viene aggiunto automaticamente al gruppo Administrators in ogni dominio della foresta e fornisce l'accesso completo alla configurazione di tutti i controller di dominio. I membri di questo gruppo possono modificare l'appartenenza di tutti i gruppi amministrativi. I membri dei gruppi di amministratori del servizio predefiniti nel dominio radice possono modificare l'appartenenza a Enterprise Admins. Questo gruppo è considerato un account amministratore del servizio.

Amministratori delle Chiavi Aziendali

I membri di questo gruppo possono eseguire azioni amministrative sugli oggetti chiave all'interno della foresta.

Controller di dominio di sola lettura organizzazione

I membri di questo gruppo sono controller di dominio di sola lettura nell'organizzazione. Ad eccezione delle password dell'account, un controller di dominio di sola lettura contiene tutti gli oggetti e gli attributi di Active Directory contenuti in un controller di dominio scrivibile. Tuttavia, non è possibile apportare modifiche al database archiviato nel controller di dominio di sola lettura. Le modifiche devono essere apportate in un controller di dominio scrivibile e quindi replicate nel controller di dominio di sola lettura.

I controller di dominio di sola lettura affrontano alcuni dei problemi comunemente riscontrati nelle succursali. Queste posizioni potrebbero non avere un controller di dominio o potrebbero avere un controller di dominio scrivibile, ma non la sicurezza fisica, la larghezza di banda di rete o l'esperienza locale per supportarla.

Per altre informazioni, vedere Che cos'è un controller di dominio di sola lettura (RODC)?

Lettori di registri eventi

I membri di questo gruppo possono leggere i registri eventi dai computer locali. Il gruppo viene creato quando il server viene alzato di livello a un controller di dominio. Questo gruppo non può essere rinominato, eliminato o rimosso.

Proprietari autori criteri di gruppo

Questo gruppo è autorizzato a creare, modificare ed eliminare oggetti Criteri di gruppo nel dominio. Per impostazione predefinita, l'unico membro del gruppo è Administrator.

Per informazioni su altre funzionalità che è possibile usare con questo gruppo di sicurezza, vedere Panoramica di Criteri di gruppo.

Guests

I membri del gruppo Guest e Users hanno accesso simile per impostazione predefinita. La differenza è che l'account Guest ha ulteriori restrizioni. Per impostazione predefinita, l'unico membro del gruppo Guest è l'account Guest. Il gruppo Guest consente agli utenti occasionali o occasionali di accedere con privilegi limitati all'account guest predefinito di un computer.

Quando un membro del gruppo Guest si disconnette, viene eliminato l'intero profilo. L'eliminazione del profilo include tutti gli elementi archiviati nella %userprofile% directory, incluse le informazioni hive del Registro di sistema dell'utente, le icone del desktop personalizzate e altre impostazioni specifiche dell'utente. Questo significa che un guest deve usare un profilo temporaneo per accedere al sistema. Questo gruppo di sicurezza interagisce con l'impostazione di Criteri di gruppo seguente: Non consentire agli utenti di accedere con profili temporanei. Per accedere a questa impostazione, aprire l'editor Gestione Criteri di gruppo e quindi passare a Configurazione> computerModelli> amministrativiProfili utente>.

Questo gruppo non può essere rinominato, eliminato o rimosso.

Amministratori Hyper-V

I membri del gruppo Amministratori Hyper-V hanno accesso completo e senza limitazioni a tutte le funzionalità di Hyper-V. L'aggiunta di membri a questo gruppo consente di ridurre il numero di membri necessari nel gruppo Administrators e di separare ulteriormente l'accesso. Questo gruppo non può essere rinominato, eliminato o rimosso.

IIS_IUSRS

IIS_IUSRS è un gruppo predefinito usato da Internet Information Services (IIS), a partire da IIS 7. Il sistema operativo garantisce che ogni account e gruppo predefinito disponga di un SID univoco. IIS 7 sostituisce l'account IUSR_MachineName e il gruppo IIS_WPG con il gruppo IIS_IUSRS per assicurarsi che i nomi effettivi usati dal nuovo account e dal nuovo gruppo non vengano mai localizzati. Ad esempio, indipendentemente dalla lingua del sistema operativo Windows installato, il nome dell'account IIS è IUSR e il nome del gruppo è IIS_IUSRS.

Per altre informazioni, vedere Informazioni sugli account utente e di gruppo predefiniti in IIS 7.

Generatori di trust di foreste in ingresso

I membri del gruppo Generatori di trust foresta in ingresso possono creare trust unidirezionale in ingresso in una foresta. Active Directory offre sicurezza in più domini o foreste tramite relazioni di trust tra domini e foreste. Prima che l'autenticazione possa verificarsi tra trust, Windows deve determinare se il dominio richiesto è da un utente, un computer o un servizio con una relazione di trust con il dominio di accesso dell'account richiedente.

Per determinare se esiste questa relazione, il sistema di sicurezza di Windows calcola un percorso di attendibilità tra il controller di dominio per il server che riceve la richiesta e un controller di dominio nel dominio dell'account richiedente. Un canale protetto si estende ad altri domini di Active Directory tramite relazioni di trust tra domini. Questo canale protetto viene usato per ottenere e verificare le informazioni di sicurezza, inclusi i SID per utenti e gruppi.

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Per altre informazioni, vedere Funzionamento dei trust tra domini e foreste.

Amministratori chiave

I membri di questo gruppo possono eseguire azioni amministrative sugli oggetti chiave all'interno del dominio.

Operatori di Configurazione della Rete

I membri del gruppo Network Configuration Operators dispongono dei privilegi amministrativi seguenti per gestire la configurazione delle funzionalità di rete:

• Modificare le proprietà TCP/IP (Transmission Control Protocol/Ip) per una connessione LAN (Local Area Network), che include l'indirizzo IP, la subnet mask, il gateway predefinito e i server dei nomi
• Rinominare le connessioni LAN o le connessioni di accesso remoto disponibili per tutti gli utenti
• Abilitare o disabilitare una connessione LAN
• Modificare le proprietà di tutte le connessioni di accesso remoto degli utenti
• Eliminare tutte le connessioni di accesso remoto degli utenti
• Rinominare tutte le connessioni di accesso remoto degli utenti
• Emettere i comandi ipconfig, ipconfig /release e ipconfig /renew
• Immettere la chiave di sblocco PIN (PUK) per i dispositivi a banda larga mobile che supportano una scheda SIM

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Utenti del Registro delle Prestazioni

I membri del gruppo Performance Log Users possono gestire contatori delle prestazioni, log e avvisi localmente nel server e dai client remoti senza essere membri del gruppo Administrators. In particolare, i membri di questo gruppo di sicurezza:

• Possono usare tutte le funzionalità disponibili per il gruppo Performance Monitor Users.
• Non è possibile usare il provider di eventi di Traccia kernel di Windows negli insiemi di raccolta dati.

Affinché i membri del gruppo Performance Log Users avviino la registrazione dei dati o modifichino gli insiemi di agenti di raccolta dati, al gruppo deve essere assegnato il diritto sull’utilizzo di accesso come processo batch. Per assegnare questo diritto utente, usare lo snap-in Criteri di sicurezza locali in Microsoft Management Console (MMC).

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo account non può essere rinominato, eliminato o spostato.

Utenti del monitoraggio delle prestazioni

I membri di questo gruppo possono monitorare i contatori delle prestazioni di controller di dominio nel dominio, sia localmente che da client remoti, anche senza appartenere al gruppo Administrators o Performance Log Users. Windows Performance Monitor è uno snap-in MMC che fornisce strumenti per l'analisi delle prestazioni del sistema. Da una singola console è possibile monitorare le prestazioni delle applicazioni e dell'hardware, personalizzare i dati che si desidera raccogliere nei registri, definire soglie per avvisi e azioni automatiche, generare rapporti e visualizzare i dati delle prestazioni precedenti in diversi modi.

In particolare, i membri di questo gruppo di sicurezza:

• Può usare tutte le funzionalità disponibili per il gruppo Utenti.
• Può visualizzare i dati sulle prestazioni in tempo reale in Performance Monitor.
• Può modificare le proprietà di visualizzazione di Performance Monitor durante la visualizzazione dei dati.
• Non è possibile creare o modificare insiemi di agenti di raccolta dati.

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Accesso compatibile precedente a Windows 2000

I membri del gruppo Accesso compatibile precedente a Windows 2000 hanno accesso in lettura per tutti gli utenti e i gruppi nel dominio. Questo gruppo viene fornito per la compatibilità con le versioni precedenti per i computer che eseguono Windows NT 4.0 e versioni precedenti. Per impostazione predefinita, il gruppo di identità speciale Everyone è membro di questo gruppo. Aggiungere utenti a questo gruppo solo se eseguono Windows NT 4.0 o versioni precedenti.

Questo gruppo non può essere rinominato, eliminato o rimosso.

Operatori di stampa

I membri di questo gruppo possono gestire, creare, condividere ed eliminare le stampanti connesse ai controller di dominio nel dominio, Possono anche gestire gli oggetti stampante di Active Directory nel dominio. I membri di questo gruppo possono accedere e arrestare localmente i controller di dominio nel dominio.

Questo gruppo non include membri predefiniti. Poiché i membri del gruppo possono caricare e scaricare driver di dispositivo su tutti i controller di dominio nel dominio, è consigliabile aggiungervi utenti con cautela. Questo gruppo non può essere rinominato, eliminato o rimosso.

Per altre informazioni, vedere Assegnare le impostazioni di autorizzazione per l'amministratore di stampa e la stampante delegate in Windows Server 2012.

Utenti protetti

I membri del gruppo Utenti protetti hanno una protezione aggiuntiva contro la compromissione delle credenziali durante i processi di autenticazione.

Questo gruppo di sicurezza fa parte di una strategia per proteggere e gestire efficacemente le credenziali all'interno dell'organizzazione. Ai membri di questo gruppo viene applicata automaticamente una protezione non configurabile ai propri account. Per impostazione predefinita, l'appartenenza al gruppo Utenti protetti è progettata per essere restrittiva e sicura in modo proattivo. L'unico modo per modificare la protezione per un account consiste nel rimuovere l'account dal gruppo di sicurezza.

Questo gruppo globale correlato al dominio attiva la protezione non configurabile nei dispositivi e nei computer host, a partire da Windows Server 2012 R2 e Windows 8.1. Attiva anche la protezione non configurabile nei controller di dominio nei domini con un controller di dominio primario che esegue Windows Server 2012 R2 o versione successiva. Questa protezione riduce notevolmente il footprint di memoria delle credenziali quando gli utenti accedono ai computer della rete da un computer non compromesso.

A seconda del livello di funzionalità del dominio dell'account, i membri del gruppo Utenti protetti sono ulteriormente protetti a causa di modifiche del comportamento nei metodi di autenticazione supportati in Windows:

• I membri del gruppo Utenti protetti non possono eseguire l'autenticazione usando i provider di supporto per la sicurezza (SSP) seguenti: New Technology LAN Manager (NTLM), Digest Authentication o Credential Security Support Provider (CredSSP). Le password non vengono memorizzate nella cache di un dispositivo che esegue Windows 10 o Windows 8.1. Il dispositivo non riesce a eseguire l'autenticazione in un dominio quando l'account è membro del gruppo Utenti protetti.
• Il protocollo Kerberos non usa i tipi di crittografia DES (Data Encryption Standard) o Rivest Cipher 4 (RC4) più deboli nel processo di preautenticazione. Il dominio deve essere configurato per supportare almeno la suite di crittografia AES (Advanced Encryption Standard).
• L'account dell'utente non può essere delegato con delega vincolata Kerberos o senza vincoli. Se l'utente è membro del gruppo Utenti protetti, le connessioni precedenti ad altri sistemi potrebbero non riuscire.
• È possibile modificare l'impostazione predefinita della durata dei ticket granting ticket Kerberos (TGT) che è di quattro ore, utilizzando i criteri di autenticazione e i silos nel Centro di amministrazione di Active Directory. Nell'impostazione predefinita, l'utente deve eseguire l'autenticazione dopo quattro ore.

Questo gruppo è stato introdotto in Windows Server 2012 R2. Per altre informazioni su questo gruppo, vedere Protected Users Security Group.

Server RAS e IAS

I computer membri del gruppo server RAS e IAS, se configurati correttamente, possono usare i servizi di accesso remoto. Per impostazione predefinita, questo gruppo non ha membri. I computer che eseguono il servizio routing e accesso remoto (RRAS) e i servizi di accesso remoto, ad esempio il servizio di autenticazione Internet (IAS) e i server dei criteri di rete, vengono aggiunti automaticamente al gruppo. I membri di questo gruppo hanno accesso a determinate proprietà di oggetti utente, ad esempio Restrizioni dell'account di lettura, Informazioni di accesso in lettura e Lettura informazioni di accesso remoto.

Server endpoint Servizi Desktop remoto

I server che sono membri del gruppo Server endpoint dei Servizi Desktop Remoto possono eseguire macchine virtuali e ospitare sessioni in cui vengono eseguiti programmi utente della funzionalità RemoteApp e desktop virtuali personali. È necessario popolare questo gruppo nei server che eseguono Gestore connessione Desktop remoto (Gestore connessione Desktop remoto). I server Host sessione e i server Host di virtualizzazione Desktop Remoto (Host di Virtualizzazione DR) usati nella distribuzione devono trovarsi in questo gruppo. Questo gruppo non può essere rinominato, eliminato o rimosso.

Per informazioni su Servizi Desktop remoto, vedere Panoramica di Servizi Desktop remoto in Windows Server.

Server di gestione Servizi Desktop remoto

È possibile usare i server membri del gruppo Server di gestione Servizi Desktop remoto per completare le azioni amministrative di routine nei server che eseguono Servizi Desktop remoto. È necessario popolare questo gruppo in tutti i server in una distribuzione di Servizi Desktop remoto. I server che eseguono il servizio di Gestione centrale dei Servizi Desktop Remoto devono essere inclusi in questo gruppo. Questo gruppo non può essere rinominato, eliminato o rimosso.

Server di accesso remoto di Servizi Desktop remoto

I server nel gruppo di Accesso Remoto dei Servizi Desktop Remoto consentono agli utenti di accedere ai programmi della funzionalità RemoteApp e ai desktop virtuali personali. Nelle distribuzioni con connessione Internet, questi server vengono in genere distribuiti in una rete perimetrale. È necessario popolare questo gruppo sui server che eseguono RD Connection Broker. I server Gateway Desktop Remoto e i server Accesso Web Desktop Remoto utilizzati nella distribuzione devono trovarsi in questo gruppo. Questo gruppo non può essere rinominato, eliminato o rimosso.

Per altre informazioni, vedere Panoramica di Servizi Desktop remoto in Windows Server.

Controller di dominio di sola lettura

Questo gruppo è composto dai controller di dominio di sola lettura nel dominio. Un controller di dominio di sola lettura consente alle organizzazioni di distribuire facilmente un controller di dominio in scenari in cui la sicurezza fisica non può essere garantita. Uno scenario di esempio è una succursale o un archivio locale di tutte le password di dominio considerate una minaccia primaria, ad esempio in un ruolo extranet o rivolto alle applicazioni.

Poiché è possibile delegare l'amministrazione di un RODC (controller di dominio di sola lettura) a un utente di dominio o a un gruppo di sicurezza, un RODC è ben adatto per un sito che non deve avere un utente membro del gruppo Domain Admins. Un controller di dominio di sola lettura ha le seguenti funzionalità:

• Un database di Active Directory Domain Services di sola lettura
• Replica unidirezionale
• Memorizzazione nella cache delle credenziali
• Separazione dei ruoli di amministratore
• DNS di sola lettura

Per altre informazioni, vedere Understanding Planning and Deployment for Read-Only Domain Controllers.For more information, see Understanding Planning and Deployment for Read-Only Domain Controllers.

Utenti desktop remoto

È possibile utilizzare il gruppo Utenti di Desktop remoto su un server Host sessione Desktop remoto (RD Session Host) per concedere autorizzazioni agli utenti e ai gruppi per connettersi in remoto a un server RD Session Host. Questo gruppo non può essere rinominato, eliminato o rimosso. Il gruppo viene visualizzato come SID fino a quando il controller di dominio non viene reso il controller di dominio primario e mantiene il ruolo FSMO (Operations Master).

Utenti gestione remota

I membri del gruppo Utenti gestione remota possono accedere alle risorse di Strumentazione gestione Windows (WMI) su protocolli di gestione come Servizi Web per la gestione (WS-Management) tramite il servizio Gestione remota Windows. L'accesso alle risorse WMI si applica solo agli spazi dei nomi WMI che concedono l'accesso all'utente.

Usare il gruppo Utenti gestione remota per consentire agli utenti di gestire i server tramite la console di Server Manager. Usare il gruppo WinRMRemoteWMIUsers__ per consentire agli utenti di eseguire in remoto i comandi di Windows PowerShell.

Questo gruppo non può essere rinominato, eliminato o rimosso.

Per altre informazioni, vedere About WMI and What's new in MI?.

Replicator

I computer membri del gruppo Replicator supportano la replica di file in un dominio. Windows Server usa il servizio Replica file (FRS) per replicare i criteri di sistema e gli script di accesso archiviati nella cartella Volume di sistema (cartella sysvol). Ogni controller di dominio mantiene una copia della cartella sysvol per consentire ai client di rete di accedere. FrS può anche replicare i dati per distributed file system (DFS) e sincronizzare il contenuto di ogni membro in un set di repliche come definito da DFS. FrS può copiare e gestire file e cartelle condivisi in più server contemporaneamente. Quando vengono fatte delle modifiche, il contenuto viene sincronizzato immediatamente all'interno dei siti e in base a una pianificazione tra siti.

Per altre informazioni, vedere le risorse seguenti:

• Il Servizio replica file (FRS) è deprecato in Windows Server 2008 R2 (Windows)
• Panoramica di Spazi dei nomi DFS e Replica DFS

Questo gruppo non può essere rinominato, eliminato o rimosso.

Amministratori dello schema

I membri del gruppo Schema Admins possono modificare lo schema di Active Directory. Questo gruppo esiste solo nel dominio radice di una foresta di Active Directory. Questo gruppo è un gruppo universale se il dominio è in modalità nativa. Questo gruppo è un gruppo globale se il dominio è in modalità mista.

Per impostazione predefinita, il solo membro del gruppo è l'account Administrator per il dominio radice della foresta. Questo gruppo ha accesso amministrativo completo allo schema.

Qualsiasi gruppo di amministratori del servizio nel dominio radice può modificare l'appartenenza a questo gruppo. Questo gruppo è considerato un account amministratore del servizio perché i relativi membri possono modificare lo schema, che regola la struttura e il contenuto dell'intera directory.

Per altre informazioni, vedere Che cos'è lo schema di Active Directory?

Operatori del server

I membri del gruppo Server Operators possono amministrare i controller di dominio. Questo gruppo esiste solo nei controller di dominio. Per impostazione predefinita, questo gruppo non ha membri e non può essere rinominato, eliminato o rimosso. I membri del gruppo Server Operators possono eseguire le seguenti azioni:

• Accedere a un server in modo interattivo
• Creare ed eliminare risorse condivise di rete
• Servizi di arresto e avvio
• Backup e ripristino dei file
• Formattare l'unità disco rigido del dispositivo
• Spegni il dispositivo

Per impostazione predefinita, questo gruppo predefinito non ha membri. Questo gruppo ha accesso alle opzioni di configurazione del server nei controller di dominio. L'appartenenza è controllata tramite i gruppi di amministratori dei servizi Administrators e Domain Admins nel dominio e dal gruppo Enterprise Admins nel dominio radice della foresta. I membri di questo gruppo non possono modificare le appartenenze ai gruppi amministrativi. Questo gruppo è considerato un account amministratore del servizio perché i relativi membri hanno accesso fisico ai controller di dominio. I membri di questo gruppo possono eseguire attività di manutenzione come backup e ripristino e possono modificare i file binari installati nei controller di dominio. Per i diritti utente predefiniti del gruppo, vedere la tabella seguente.

Amministratori della replica di archiviazione

I membri del gruppo Amministratori di Replica di archiviazione hanno accesso completo e senza restrizioni a tutte le funzionalità dello strumento Replica di archiviazione.

Account gestiti di sistema

L'appartenenza al gruppo Account gestiti dal sistema è gestita dal sistema. Questo gruppo include l'account gestito di sistema predefinito (DSMA), che facilita le funzioni di sistema.

Server licenze Terminal Server

I membri del gruppo dei Server di licenze Terminal Server possono aggiornare gli account utente in Active Directory con informazioni sul rilascio delle licenze. Il gruppo viene utilizzato per monitorare e segnalare l'utilizzo della licenza Terminal Server Per Utente Client Access License (TS Per Utente CAL). Una licenza CAL TS per utente offre a un utente il diritto di accedere a un'istanza di Terminal Server da un numero illimitato di computer client o dispositivi. Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

Per altre informazioni su questo gruppo di sicurezza, vedere Configurazione del gruppo di sicurezza del server licenze terminal Services.

Users

Ai membri del gruppo Utenti viene impedito di apportare modifiche accidentali o intenzionali a livello di sistema. I membri di questo gruppo possono eseguire la maggior parte delle applicazioni. Dopo l'installazione iniziale del sistema operativo, l'unico membro è il gruppo Authenticated Users. Quando un computer viene aggiunto a un dominio, il gruppo Domain Users viene aggiunto al gruppo Users del computer.

Gli utenti possono eseguire attività come eseguire un'applicazione, usare stampanti locali e di rete, arrestare il computer e bloccare il computer. Gli utenti possono installare applicazioni che possono usare solo se il programma di installazione dell'applicazione supporta l'installazione per utente. Questo gruppo non può essere rinominato, eliminato o rimosso.

Accesso all'autorizzazione di Windows

I membri di questo gruppo hanno accesso all'attributo tokenGroupsGlobalAndUniversal sugli oggetti utente. Questo accesso è utile perché alcune funzionalità dell'applicazione leggono l'attributo (token-groups-global-and-universal) sugli oggetti dell'account TGGAU utente o sugli oggetti dell'account computer in Active Directory Domain Services. Alcune funzioni Win32 semplificano la lettura dell'attributo TGGAU . Tuttavia, le applicazioni che leggono questo attributo o che chiamano un'API che legge questo attributo non hanno esito positivo se il contesto di sicurezza chiamante non ha accesso all'attributo. Questo gruppo semplifica la concessione dell'accesso in lettura all'attributo

Questo gruppo viene visualizzato come SID finché il controller di dominio non viene reso il controller di dominio primario e ha il ruolo FSMO (Operations Master). Questo gruppo non può essere rinominato, eliminato o rimosso.

WinRMRemoteWMIUsers__

A partire da Windows Server 2012 e Windows 8, l'interfaccia utente Impostazioni di sicurezza avanzate contiene una scheda Condividi . In questa scheda vengono visualizzate le proprietà di sicurezza di una condivisione file remota. Per visualizzare queste informazioni, è necessario disporre delle autorizzazioni e delle appartenenze seguenti:

• È necessario essere un membro del gruppo WinRMRemoteWMIUsers__ o del gruppo BUILTIN\Administrators.
• È necessario disporre delle autorizzazioni di lettura per la condivisione file.

In Windows Server 2012, la funzionalità Assistenza accesso negato aggiunge il gruppo Utenti autenticati al gruppo di WinRMRemoteWMIUsers__ locale. Quando la funzionalità Assistenza accesso negato è abilitata, tutti gli utenti autenticati che dispongono delle autorizzazioni di lettura per la condivisione file possono visualizzare le autorizzazioni di condivisione file.

Contenuti correlati

• Principali di sicurezza
• Gruppi di identità speciali
• Panoramica del controllo di accesso