Quando si installa Windows Server 2003, il sistema operativo crea account e gruppi utente predefiniti. Nel caso di un server membro di dominio, che a differenza di un domain controller dispone di utenti e gruppi locali, gli account predefiniti sono locali al singolo sistema in cui sono installati.
Nel caso di un domain controller, che non dispone di utenti e gruppi locali, esiste una controparte di account predefiniti in Active Directory. Pertanto i gruppi predefiniti di un dominio (Builtin Groups) sono gruppi di protezione inseriti automaticamente da Windows Server quando si crea un dominio Active Directory. È possibile utilizzare i gruppi predefiniti per controllare l'accesso alle risorse condivise e delegare ruoli di amministrazione specifici relativi a tutto il dominio.
Vediamo subito come vengono individuati nell'albero di Active Directory. I gruppi predefiniti si trovano nei contenitori Builtin e Users. Nel contenitore Users troviamo inoltre l'account Administrator più altri account utente creati dal sistema e dalle applicazioni quando queste vengono installate sul server.
L'utente Administrator è un account predefinito che fornisce accesso completo a file, directory, servizi e altre funzioni; non è possibile eliminare o disattivare questo account. L'account Administrator fa parte dei gruppi predefiniti Domain Admins ed Enterprise Admins, dai quali è possibile rimuoverlo per impedire eccessivi privilegi concentrati su un unico account.
In generale, ai gruppi predefiniti viene assegnato un insieme di diritti che autorizza i membri del gruppo a effettuare operazioni specifiche in un dominio: accesso a un sistema locale, modifica degli utenti, backup di file e cartelle, etc..
Il contenitore Builtin include i gruppi definiti con ambito locale di dominio mentre il contenitore Users include sia gruppi definiti con ambito globale che locale di dominio.
Builtin
Nella tabella riportata di seguito sono descritti i gruppi predefiniti presenti nel contenitore Builtin e sono elencati i diritti utente assegnati a ciascun gruppo.
| Gruppo | Descrizione | Diritti utente predefiniti |
|---|---|---|
|
Account Operators |
I membri di questo gruppo possono creare, modificare ed eliminare gli account per gli utenti, i gruppi e i computer, ad eccezione degli account contenuti nell'unità organizzativa dei controller di dominio. Non possono modificare i gruppi Administrators o Domain Admins, mentre possono accedere ai controller di dominio in locale e arrestarli. |
Consenti accesso locale; Arresto del sistema. |
|
Administrators |
I membri di questo gruppo dispongono del controllo completo di tutti i controller di dominio nel dominio. L'account Administrator fa parte dei gruppi predefiniti Domain Admins ed Enterprise Admins, dai quali è possibile rimuoverlo per impedire eccessivi privilegi concentrati su un unico account. Inoltre i gruppi Domain Admins ed Enterprise Admins sono membri del gruppo Administrators. |
Accedi al computer dalla rete; Regolazione limite risorse memoria per un processo; Backup di file e directory; Ignorare controllo incrociato; Modifica dell'orario di sistema; Creazione di file di paging; Debug di programmi; Impostazione account computer ed utente a tipo trusted per la delega; Arresto forzato da un sistema remoto; Aumento della priorità di pianificazione; Caricamento/rimozione di driver di periferica; Consenti accesso locale; Gestione file registro di controllo e di protezione; Modifica dei valori di ambiente firmware; Creazione di profilo del singolo processo; Creazione di profilo delle prestazioni del sistema; Rimozione del computer dall'alloggiamento; Ripristino di file e directory; Arresto del sistema; Acquisizione proprietà di file o altri oggetti. |
|
Backup Operators |
I membri di questo gruppo possono effettuare il backup e il ripristino di tutti i file dei controller di dominio nel dominio, indipendentemente dalle autorizzazioni individuali su tali file. Gli appartenenti al gruppo Backup Operators possono inoltre accedere ai controller di dominio e arrestarli. |
Backup di file e directory; Consenti accesso locale; Ripristino di file e directory; Arresto del sistema. |
|
Guests |
Per impostazione predefinita, il gruppo Domain Guests è membro di questo gruppo. Anche l'account Guest (disabilitato per impostazione predefinita) è membro predefinito di questo gruppo. |
Nessun diritto utente predefinito. |
|
Incoming Forest Trust Builders (visualizzato solo nel dominio principale dell'insieme di strutture) |
I membri di questo gruppo possono creare trust tra insiemi di strutture in ingresso unidirezionali con il dominio principale dell'insieme di strutture. I membri di questo gruppo che risiedono nell'insieme di strutture A, ad esempio, possono creare un trust tra insiemi di strutture in ingresso unidirezionale dall'insieme di strutture B. Questo trust consente agli utenti dell'insieme di strutture A di accedere alle risorse che si trovano nell'insieme di strutture B. Ai membri di questo gruppo viene assegnata l'autorizzazione Crea trust tra insiemi di strutture in ingresso per il dominio principale dell'insieme di strutture. |
Nessun diritto utente predefinito. |
|
Network Configuration Operators |
I membri di questo gruppo possono apportare modifiche alle impostazioni TCP/IP nonché rinnovare e rilasciare indirizzi TCP/IP sui controller di dominio nel dominio. |
Nessun diritto utente predefinito. |
|
Performance Monitor Users |
I membri di questo gruppo possono monitorare i contatori delle prestazioni dei controller di dominio nel dominio, in locale e da client remoti senza dover appartenere al gruppo Administrators o Performance Log Users. |
Nessun diritto utente predefinito. |
|
Performance Log Users |
I membri di questo gruppo possono gestire i contatori delle prestazioni, i registri e gli avvisi dei controller di dominio nel dominio, in locale e da client remoti senza dover appartenere al gruppo Administrators. |
Nessun diritto utente predefinito. |
|
Accesso compatibile precedente a Windows 2000 |
I membri di questo gruppo dispongono dell'accesso in lettura su tutti gli utenti e i gruppi nel dominio. Il gruppo viene fornito per la compatibilità con le versioni precedenti nel caso si utilizzino computer con sistema operativo Windows NT versione 4.0 e precedenti. |
Accedi al computer dalla rete; Ignorare controllo incrociato. |
|
Print Operators |
I membri di questo gruppo possono gestire, creare, condividere ed eliminare le stampanti connesse ai controller di dominio nel dominio, nonché gestire gli oggetti stampante di Active Directory nel dominio. Possono inoltre accedere ai controller di dominio in locale e arrestarli. |
Consenti accesso locale; Arresto del sistema. |
|
Utenti desktop remoto |
I membri di questo gruppo possono accedere in remoto ai controller di dominio nel dominio. Tuttavia per far questo è necessaria un'ulteriore modifica dei criteri di sicurezza del controller di dominio (nelle impostazioni di Protezione Locali, fra coloro che hanno il diritto "Permetti Accesso Tramite Servizi Terminal" deve essere aggiunto il gruppo Utenti Desktop Remoto). |
Nessun diritto utente predefinito. |
|
Replicator |
Questo gruppo supporta le funzioni di replica della directory e viene utilizzato dal servizio Replica file sui controller di dominio nel dominio. Non aggiungere utenti a questo gruppo. |
Nessun diritto utente predefinito. |
|
Server Operators |
Nei controller di dominio, i membri di questo gruppo possono accedere in modo interattivo, creare ed eliminare risorse condivise, avviare e arrestare alcuni servizi, eseguire il backup e il ripristino dei file, formattare il disco rigido e arrestare il sistema. |
Backup di file e directory; Modifica dell'orario di sistema; Arresto forzato da un sistema remoto; Consenti accesso locale; Ripristino di file e directory; Arresto del sistema. |
|
Utenti |
I membri di questo gruppo possono effettuare le operazioni più comuni, quali l'esecuzione di applicazioni, l'utilizzo di stampanti locali e di rete e il blocco del server. Per impostazione predefinita, i gruppi Domain Users, Authenticated Users e Interactive sono membri di questo gruppo. Di conseguenza, qualsiasi account utente creato nel dominio diventa membro di questo gruppo. |
Nessun diritto utente predefinito. |
Users
Nella tabella riportata di seguito sono descritti i gruppi predefiniti presenti nel contenitore Users e sono elencati i diritti utente assegnati a ciascun gruppo.
| Gruppo | Descrizione | Diritti utente predefiniti |
|---|---|---|
|
Cert Publishers |
I membri di questo gruppo possono pubblicare certificati per utenti e computer. |
Nessun diritto utente predefinito. |
|
DnsAdmins (installato con DNS) |
I membri di questo gruppo dispongono dell'accesso amministrativo al servizio Server DNS. |
Nessun diritto utente predefinito. |
|
DnsUpdateProxy (installato con DNS) |
I membri di questo gruppo sono client DNS che possono eseguire aggiornamenti dinamici per conto di altri client, ad esempio i server DHCP. |
Nessun diritto utente predefinito. |
|
Domain Admins |
I membri di questo gruppo dispongono del controllo completo del dominio. Per impostazione predefinita, il gruppo è membro del gruppo Administrators in tutti i controller di dominio, le workstation e i server membri del dominio nel momento in cui vengono aggiunti al dominio stesso. Per impostazione predefinita, l'account Administrator è membro di questo gruppo. |
Accedi al computer dalla rete; Regolazione limite risorse memoria per un processo; Backup di file e directory; Ignorare controllo incrociato; Modifica dell'orario di sistema; Creazione di file di paging; Debug di programmi; Impostazione account computer ed utente a tipo trusted per la delega; Arresto forzato da un sistema remoto; Aumento della priorità di pianificazione; Caricamento/rimozione di driver di periferica; Consenti accesso locale; Gestione file registro di controllo e di protezione; Modifica dei valori di ambiente firmware; Creazione di profilo del singolo processo; Creazione di profilo delle prestazioni del sistema; Rimozione del computer dall'alloggiamento; Ripristino di file e directory; Arresto del sistema; Acquisizione proprietà di file o altri oggetti. |
|
Computer del dominio |
Questo gruppo contiene tutti i server e le workstation aggiunti al dominio. Per impostazione predefinita, qualsiasi account computer creato diventa automaticamente membro di questo gruppo. |
Nessun diritto utente predefinito. |
|
Controller di dominio |
Questo gruppo contiene tutti i controller di domino nel dominio. |
Nessun diritto utente predefinito. |
|
Domain Guests |
Questo gruppo contiene tutti i guest del dominio. |
Nessun diritto utente predefinito. |
|
Domain Users |
Questo gruppo contiene tutti gli utenti del dominio. Per impostazione predefinita, qualsiasi account utente creato nel dominio diventa automaticamente membro di questo gruppo. |
Nessun diritto utente predefinito. |
|
Enterprise Admins (visualizzato solo nel dominio principale dell'insieme di strutture) |
I membri di questo gruppo dispongono del controllo completo di tutti i domini nell'insieme di strutture. Per impostazione predefinita, il gruppo è membro del gruppo Administrators in tutti i controller di dominio dell'insieme di strutture. Per impostazione predefinita, l'account Administrator è membro di questo gruppo. |
Accedi al computer dalla rete; Regolazione limite risorse memoria per un processo; Backup di file e directory; Ignorare controllo incrociato; Modifica dell'orario di sistema; Creazione di file di paging; Debug di programmi; Impostazione account computer ed utente a tipo trusted per la delega; Arresto forzato da un sistema remoto; Aumento della priorità di pianificazione; Caricamento/rimozione di driver di periferica; Consenti accesso locale; Gestione file registro di controllo e di protezione; Modifica dei valori di ambiente firmware; Creazione di profilo del singolo processo; Creazione di profilo delle prestazioni del sistema; Rimozione del computer dall'alloggiamento; Ripristino di file e directory; Arresto del sistema; Acquisizione proprietà di file o altri oggetti. |
|
Proprietari autori criteri di gruppo |
I membri di questo gruppo possono modificare i Criteri di gruppo nel dominio. Per impostazione predefinita, l'account Administrator è membro di questo gruppo. |
Nessun diritto utente predefinito. |
|
IIS_WPG (installato con IIS) |
Il gruppo IIS_WPG è il gruppo di processi di lavoro IIS (Internet Information Service) 6.0. All'interno di IIS 6.0 i processi di lavoro gestiscono spazi dei nomi specifici. Ad esempio, lo spazio dei nomi www.microsoft.com viene gestito da un processo di lavoro che può essere eseguito con un'identità aggiunta al gruppo IIS_WPG, quale MicrosoftAccount. |
Nessun diritto utente predefinito. |
|
Server RAS e IAS |
Ai server di questo gruppo è consentito l'accesso alle proprietà di accesso remoto degli utenti. |
Nessun diritto utente predefinito. |
|
Schema Admins (visualizzato solo nel dominio principale dell'insieme di strutture) |
I membri di questo gruppo possono modificare lo schema di Active Directory. Per impostazione predefinita, l'account Administrator è membro di questo gruppo. |
Nessun diritto utente predefinito. |
Osservazioni pratiche
Fornite sempre all'account Administrator una password robusta: si tratta di un account ben noto, con cui si gestisce tutto il sistema, pertanto sarà il primo account ad essere sotto "osservazione" in caso di attacco. Come ulteriore misura di precauzione si consiglia di rinominarlo, creando magari un nuovo account Administrator fittizio, che non disponga dei privilegi di quello vero.
Non utilizzate inoltre l'account Administrator per la gestione dei vostri server e/o del vostro dominio, piuttosto inserite i vari account deputati alla gestione dentro il gruppo Administrators.
In un dominio di Windows Server 2003, l'utente predefinito di dominio Administrator fa parte del gruppo Domain Admins, gruppo che a sua volta è inserito all'interno del gruppo Administrators dei PC client facenti parte del dominio, nonchè del gruppo Administrators dei server membri.Per evitare quindi che chi accede su uno di questi PC con l'account di dominio Administrator sia in grado di amministrare le risorse del PC stesso e di tutto il dominio, togliete l'Administrator dal gruppo Domain Admins.
Lo stesso ragionamento vale per il gruppo predefinito Enterprise Admins: l'account Administrator è incluso anche in questo gruppo.