Esporta (0) Stampa
Espandi tutto
5 di 7 hanno valutato il contenuto utile: - Valuta questo argomento

Gruppi predefiniti

Aggiornamento: gennaio 2005

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Gruppi predefiniti

I gruppi predefiniti, tra cui il gruppo Domain Admins, sono gruppi di protezione che vengono creati automaticamente quando si crea un dominio di Active Directory. È possibile utilizzare i gruppi predefiniti per controllare l'accesso alle risorse condivise e delegare ruoli di amministrazione specifici relativi a tutto il dominio. Per ulteriori informazioni sui gruppi predefiniti archiviati nei computer locali, vedere Gruppi locali predefiniti.

A numerosi gruppi predefiniti viene assegnato automaticamente un insieme di diritti utente che autorizza i membri del gruppo a effettuare operazioni specifiche in un dominio, quali l'accesso a un sistema locale o il backup di file e cartelle. Ad esempio, un membro del gruppo Backup Operators dispone del diritto necessario per l'esecuzione delle operazioni di backup in tutti i controller di dominio del dominio.

Quando si aggiunge un utente a un gruppo, l'utente riceve tutti i diritti utente e tutte le autorizzazioni assegnate al gruppo per qualsiasi risorsa condivisa. Per ulteriori informazioni sui diritti utente e sulle autorizzazioni, vedere Tipi di gruppi.

È possibile gestire i gruppi mediante Utenti e computer di Active Directory. I gruppi predefiniti si trovano nei contenitori Builtin e Users. Il contenitore Builtin include i gruppi definiti con ambito locale di dominio. Il contenitore Users include i gruppi definiti con ambito globale e quelli definiti con ambito locale di dominio. È possibile spostare i gruppi che si trovano in questi contenitori in altri gruppi o unità organizzative all'interno del dominio, ma non in altri domini.

Per una protezione ottimale, è opportuno che i membri dei gruppi predefiniti con diritti di accesso amministrativo estesi utilizzino Esegui come per effettuare operazioni di amministrazione. Per ulteriori informazioni, vedere Utilizzo di Esegui come. Per ulteriori informazioni sulle procedure ottimali per la protezione, vedere Procedure ottimali per Active Directory. Per ulteriori informazioni sulle misure di protezione aggiuntive che possono essere utilizzate per Active Directory, vedere Protezione di Active Directory.

Nota

  • Per sapere a quale gruppo è necessario appartenere per svolgere una particolare procedura, molti argomenti di Procedure nella Guida in linea e supporto tecnico forniscono un riferimento a questa informazione.

Gruppi nel contenitore Builtin

Nella tabella riportata di seguito sono descritti i gruppi predefiniti presenti nel contenitore Builtin e sono elencati i diritti utente assegnati a ciascun gruppo. Per una descrizione completa dei diritti utente elencati nella tabella, vedere Assegnazione diritti utente. Per ulteriori informazioni sulla modifica di questi diritti, vedere Modificare un'impostazione di protezione in un oggetto Criteri di gruppo.

 

Gruppo Descrizione Diritti utente predefiniti

Account Operators

I membri di questo gruppo possono creare, modificare ed eliminare gli account per gli utenti, i gruppi e i computer che si trovano nei contenitori Users e Computers e le unità organizzative del dominio, ad eccezione dell'unità organizzativa dei controller di dominio. I membri di questo gruppo non dispongono dell'autorizzazione per modificare i gruppi Administrators o Domain Admins, né dell'autorizzazione per modificare gli account dei membri di questi gruppi. Possono inoltre accedere ai controller di dominio in locale e arrestarli. Poiché questo gruppo dispone di un elevato potere all'interno del dominio, si consiglia di aggiungervi utenti con cautela.

Consenti accesso locale; Arresto del sistema.

Administrators

I membri di questo gruppo dispongono del controllo completo di tutti i controller di dominio nel dominio. Per impostazione predefinita, i gruppi Domain Admins ed Enterprise Admins sono membri del gruppo Administrators. Anche l'account Administrator è un membro predefinito. Poiché questo gruppo dispone del controllo completo all'interno del dominio, si consiglia di aggiungervi utenti con cautela.

Accedi al computer dalla rete; Regolazione limite risorse memoria per un processo; Backup di file e directory; Ignorare controllo incrociato; Modifica dell'orario di sistema; Creazione di file di paging; Debug di programmi; Impostazione account computer ed utente a tipo trusted per la delega; Arresto forzato da un sistema remoto; Aumento della priorità di pianificazione; Caricamento/rimozione di driver di periferica; Consenti accesso locale; Gestione file registro di controllo e di protezione; Modifica dei valori di ambiente firmware; Creazione di profilo del singolo processo; Creazione di profilo delle prestazioni del sistema; Rimozione del computer dall'alloggiamento; Ripristino di file e directory; Arresto del sistema; Acquisizione proprietà di file o altri oggetti.

Backup Operators

I membri di questo gruppo possono effettuare il backup e il ripristino di tutti i file dei controller di dominio nel dominio, indipendentemente dalle autorizzazioni individuali su tali file. Gli appartenenti al gruppo Backup Operators possono inoltre accedere ai controller di dominio e arrestarli. Questo gruppo non dispone di membri predefiniti. Poiché questo gruppo dispone di un elevato potere sui controller di dominio, si consiglia di aggiungervi utenti con cautela.

Backup di file e directory; Consenti accesso locale; Ripristino di file e directory; Arresto del sistema.

Guests

Per impostazione predefinita, il gruppo Domain Guests è membro di questo gruppo. Anche l'account Guest (disabilitato per impostazione predefinita) è membro predefinito di questo gruppo.

Nessun diritto utente predefinito.

Incoming Forest Trust Builders (visualizzato solo nel dominio principale dell'insieme di strutture)

I membri di questo gruppo possono creare trust tra insiemi di strutture in ingresso unidirezionali con il dominio principale dell'insieme di strutture. I membri di questo gruppo che risiedono nell'insieme di strutture A, ad esempio, possono creare un trust tra insiemi di strutture in ingresso unidirezionale dall'insieme di strutture B. Questo trust consente agli utenti dell'insieme di strutture A di accedere alle risorse che si trovano nell'insieme di strutture B. Ai membri di questo gruppo viene assegnata l'autorizzazione Crea trust tra insiemi di strutture in ingresso per il dominio principale dell'insieme di strutture. Questo gruppo non dispone di membri predefiniti. Per ulteriori informazioni sulla creazione dei trust tra insiemi di strutture, vedere Creare un trust tra insiemi di strutture.

Nessun diritto utente predefinito.

Network Configuration Operators

I membri di questo gruppo possono apportare modifiche alle impostazioni TCP/IP nonché rinnovare e rilasciare indirizzi TCP/IP sui controller di dominio nel dominio. Questo gruppo non dispone di membri predefiniti.

Nessun diritto utente predefinito.

Performance Monitor Users

I membri di questo gruppo possono monitorare i contatori delle prestazioni dei controller di dominio nel dominio, in locale e da client remoti senza dover appartenere al gruppo Administrators o Performance Log Users.

Nessun diritto utente predefinito.

Performance Log Users

I membri di questo gruppo possono gestire i contatori delle prestazioni, i registri e gli avvisi dei controller di dominio nel dominio, in locale e da client remoti senza dover appartenere al gruppo Administrators.

Nessun diritto utente predefinito.

Accesso compatibile precedente a Windows 2000

I membri di questo gruppo dispongono dell'accesso in lettura su tutti gli utenti e i gruppi nel dominio. Il gruppo viene fornito per la compatibilità con le versioni precedenti nel caso si utilizzino computer con sistema operativo Windows NT versione 4.0 e precedenti. Per impostazione predefinita, l'identità speciale Everyone è membro di questo gruppo. Per ulteriori informazioni sulle identità speciali, vedere Identità speciali. Aggiungere utenti a questo gruppo solo se eseguono Windows NT versione 4.0 o precedenti.

Accedi al computer dalla rete; Ignorare controllo incrociato.

Print Operators

I membri di questo gruppo possono gestire, creare, condividere ed eliminare le stampanti connesse ai controller di dominio nel dominio, nonché gestire gli oggetti stampante di Active Directory nel dominio. Possono inoltre accedere ai controller di dominio in locale e arrestarli. Questo gruppo non dispone di membri predefiniti. Poiché i membri del gruppo possono caricare e scaricare i driver di periferica su tutti i controller di dominio nel dominio, si consiglia di aggiungervi utenti con cautela.

Consenti accesso locale; Arresto del sistema.

Utenti desktop remoto

I membri di questo gruppo possono accedere in remoto ai controller di dominio nel dominio. Questo gruppo non dispone di membri predefiniti.

Nessun diritto utente predefinito.

Replicator

Questo gruppo supporta le funzioni di replica della directory e viene utilizzato dal servizio Replica file sui controller di dominio nel dominio. Questo gruppo non dispone di membri predefiniti. Non aggiungere utenti a questo gruppo.

Nessun diritto utente predefinito.

Server Operators

Nei controller di dominio, i membri di questo gruppo possono accedere in modo interattivo, creare ed eliminare risorse condivise, avviare e arrestare alcuni servizi, eseguire il backup e il ripristino dei file, formattare il disco rigido e arrestare il sistema. Questo gruppo non dispone di membri predefiniti. Poiché questo gruppo dispone di un elevato potere sui controller di dominio, si consiglia di aggiungervi utenti con cautela.

Backup di file e directory; Modifica dell'orario di sistema; Arresto forzato da un sistema remoto; Consenti accesso locale; Ripristino di file e directory; Arresto del sistema.

Utenti

I membri di questo gruppo possono effettuare le operazioni più comuni, quali l'esecuzione di applicazioni, l'utilizzo di stampanti locali e di rete e il blocco del server. Per impostazione predefinita, i gruppi Domain Users, Authenticated Users e Interactive sono membri di questo gruppo. Di conseguenza, qualsiasi account utente creato nel dominio diventa membro di questo gruppo.

Nessun diritto utente predefinito.

Gruppi nel contenitore Users

Nella tabella riportata di seguito sono descritti i gruppi predefiniti presenti nel contenitore Users e sono elencati i diritti utente assegnati a ciascun gruppo. Per una descrizione completa dei diritti utente elencati nella tabella, vedere Assegnazione diritti utente. Per ulteriori informazioni sulla modifica di questi diritti, vedere Modificare un'impostazione di protezione in un oggetto Criteri di gruppo.

 

Gruppo Descrizione Diritti utente predefiniti

Cert Publishers

I membri di questo gruppo possono pubblicare certificati per utenti e computer. Questo gruppo non dispone di membri predefiniti.

Nessun diritto utente predefinito.

DnsAdmins (installato con DNS)

I membri di questo gruppo dispongono dell'accesso amministrativo al servizio Server DNS. Questo gruppo non dispone di membri predefiniti.

Nessun diritto utente predefinito.

DnsUpdateProxy (installato con DNS)

I membri di questo gruppo sono client DNS che possono eseguire aggiornamenti dinamici per conto di altri client, ad esempio i server DHCP. Questo gruppo non dispone di membri predefiniti.

Nessun diritto utente predefinito.

Domain Admins

I membri di questo gruppo dispongono del controllo completo del dominio. Per impostazione predefinita, il gruppo è membro del gruppo Administrators in tutti i controller di dominio, le workstation e i server membri del dominio nel momento in cui vengono aggiunti al dominio stesso. Per impostazione predefinita, l'account Administrator è membro di questo gruppo. Poiché questo gruppo dispone del controllo completo all'interno del dominio, si consiglia di aggiungervi utenti con cautela.

Accedi al computer dalla rete; Regolazione limite risorse memoria per un processo; Backup di file e directory; Ignorare controllo incrociato; Modifica dell'orario di sistema; Creazione di file di paging; Debug di programmi; Impostazione account computer ed utente a tipo trusted per la delega; Arresto forzato da un sistema remoto; Aumento della priorità di pianificazione; Caricamento/rimozione di driver di periferica; Consenti accesso locale; Gestione file registro di controllo e di protezione; Modifica dei valori di ambiente firmware; Creazione di profilo del singolo processo; Creazione di profilo delle prestazioni del sistema; Rimozione del computer dall'alloggiamento; Ripristino di file e directory; Arresto del sistema; Acquisizione proprietà di file o altri oggetti.

Computer del dominio

Questo gruppo contiene tutti i server e le workstation aggiunti al dominio. Per impostazione predefinita, qualsiasi account computer creato diventa automaticamente membro di questo gruppo.

Nessun diritto utente predefinito.

Controller di dominio

Questo gruppo contiene tutti i controller di domino nel dominio.

Nessun diritto utente predefinito.

Domain Guests

Questo gruppo contiene tutti i guest del dominio.

Nessun diritto utente predefinito.

Domain Users

Questo gruppo contiene tutti gli utenti del dominio. Per impostazione predefinita, qualsiasi account utente creato nel dominio diventa automaticamente membro di questo gruppo. Il gruppo può essere utilizzato per rappresentare tutti gli utenti nel dominio. Se ad esempio si desidera che tutti gli utenti del dominio possano accedere a una stampante, è possibile assegnare le autorizzazioni per la stampante al gruppo oppure aggiungere il gruppo Domain Users in un gruppo locale, sul server di stampa, che dispone delle autorizzazioni per la stampante.

Nessun diritto utente predefinito.

Enterprise Admins (visualizzato solo nel dominio principale dell'insieme di strutture)

I membri di questo gruppo dispongono del controllo completo di tutti i domini nell'insieme di strutture. Per impostazione predefinita, il gruppo è membro del gruppo Administrators in tutti i controller di dominio dell'insieme di strutture. Per impostazione predefinita, l'account Administrator è membro di questo gruppo. Poiché questo gruppo dispone del controllo completo dell'insieme di strutture, si consiglia di aggiungervi utenti con cautela.

Accedi al computer dalla rete; Regolazione limite risorse memoria per un processo; Backup di file e directory; Ignorare controllo incrociato; Modifica dell'orario di sistema; Creazione di file di paging; Debug di programmi; Impostazione account computer ed utente a tipo trusted per la delega; Arresto forzato da un sistema remoto; Aumento della priorità di pianificazione; Caricamento/rimozione di driver di periferica; Consenti accesso locale; Gestione file registro di controllo e di protezione; Modifica dei valori di ambiente firmware; Creazione di profilo del singolo processo; Creazione di profilo delle prestazioni del sistema; Rimozione del computer dall'alloggiamento; Ripristino di file e directory; Arresto del sistema; Acquisizione proprietà di file o altri oggetti.

Proprietari autori criteri di gruppo

I membri di questo gruppo possono modificare i Criteri di gruppo nel dominio. Per impostazione predefinita, l'account Administrator è membro di questo gruppo. Poiché questo gruppo dispone di un elevato potere all'interno del dominio, si consiglia di aggiungervi utenti con cautela.

Nessun diritto utente predefinito.

IIS_WPG (installato con IIS)

Il gruppo IIS_WPG è il gruppo di processi di lavoro IIS (Internet Information Service) 6.0. All'interno di IIS 6.0 i processi di lavoro gestiscono spazi dei nomi specifici. Ad esempio, lo spazio dei nomi www.microsoft.com viene gestito da un processo di lavoro che può essere eseguito con un'identità aggiunta al gruppo IIS_WPG, quale MicrosoftAccount. Questo gruppo non dispone di membri predefiniti.

Nessun diritto utente predefinito.

Server RAS e IAS

Ai server di questo gruppo è consentito l'accesso alle proprietà di accesso remoto degli utenti.

Nessun diritto utente predefinito.

Schema Admins (visualizzato solo nel dominio principale dell'insieme di strutture)

I membri di questo gruppo possono modificare lo schema di Active Directory. Per impostazione predefinita, l'account Administrator è membro di questo gruppo. Poiché questo gruppo dispone di un elevato potere nell'insieme di strutture, si consiglia di aggiungervi utenti con cautela.

Nessun diritto utente predefinito.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft. Tutti i diritti riservati.