Esporta (0) Stampa
Espandi tutto

Impostazioni di protezione predefinite per gruppi

Aggiornamento: gennaio 2005

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Impostazioni di protezione predefinite per gruppi

Prima di modificare le impostazioni di protezione, è importante esaminare le impostazioni predefinite.

Esistono tre livelli principali di protezione relativi agli utenti. Le autorizzazioni e i diritti specifici di tali livelli di protezione vengono concessi agli utenti finali quando si definisce l'appartenenza ai gruppi Administrators, Power Users o Users.

Administrators

Gli utenti appartenenti al gruppo Administrators sono addetti alla manutenzione dei computer. Le autorizzazioni predefinite assegnate a questo gruppo forniscono un controllo totale sull'intero sistema. Per questo motivo, è consigliabile includere in questo gruppo solo persone fidate.

Power Users

I membri del gruppo Power Users dispongono di più autorizzazioni rispetto ai membri del gruppo Users e meno rispetto al gruppo Administrators. Gli utenti Power Users possono eseguire qualsiasi operazione relativa al sistema operativo, a eccezione delle operazioni riservate al gruppo Administrators. Le autorizzazioni predefinite assegnate al gruppo Power Users consentono ai membri di modificare impostazioni che interessano il computer nel suo complesso.

Quando si esegue un aggiornamento da Windows NT 4.0, gli utenti con restrizioni vengono automaticamente inseriti nel gruppo Power Users per evitare problemi di compatibilità con le applicazioni utilizzate all'interno dell'organizzazione prima dell'aggiornamento. Numerose applicazioni eseguite in Windows NT 4.0 infatti richiedono livelli di autorizzazione elevati per garantirne il corretto funzionamento. Le impostazioni di protezione predefinite del gruppo Power Users in Windows 2000, Windows XP Professional e nei sistemi della famiglia Windows Server 2003 sono molto simili a quelle del gruppo Users in Windows NT 4.0. I programmi eseguibili in Windows NT 4.0 possono essere pertanto eseguiti dai membri del gruppo Power Users in Windows 2000, Windows XP Professional e nei sistemi della famiglia Windows Server 2003.

Se non si desidera assegnare agli utenti finali le autorizzazioni avanzate del gruppo Power Users, è possibile aggiungere gli utenti al gruppo Users ed eseguire solo le applicazioni appartenenti al programma Windows Logo per il software. Per implementare il supporto di applicazioni non appartenenti al programma Windows Logo per il software, è necessario che gli utenti finali appartengano al gruppo Power Users. Per informazioni sul programma Windows Logo per il software, vedere la pagina relativa a questo programma nel sito Web Microsoft.

Per i membri del gruppo Power Users è possibile:

  • Eseguire applicazioni legacy oltre alle applicazioni per Windows 2000, Windows XP Professional o per i prodotti della famiglia Windows Server 2003 appartenenti al programma Windows Logo per il software.

  • Installare applicazioni che non modificano i file del sistema operativo oppure installare servizi di sistema.

  • Personalizzare le risorse di sistema, ad esempio stampanti, data, ora, opzioni di risparmio energia e altre risorse del Pannello di controllo.

  • Creare e gestire account utente e gruppi locali.

  • Interrompere e avviare servizi di sistema che non vengono avviati per impostazione predefinita.

I membri del gruppo Power Users non dispongono dell'autorizzazione per aggiungersi al gruppo Administrators né dell'accesso ai dati appartenenti ad altri utenti di un volume NTFS per i quali non è stata concessa l'autorizzazione di accesso.

Attenzione

  • L'esecuzione di programmi legacy in Windows 2000, Windows XP Professional o in un sistema della famiglia Windows Server 2003 spesso richiede la modifica dell'accesso a determinate impostazioni di sistema. Le stesse autorizzazioni predefinite che consentono al gruppo Power Users di eseguire versioni precedenti di programmi rendono possibile l'acquisizione di ulteriori privilegi per il sistema, perfino il controllo amministrativo completo. La distribuzione di applicazioni appartenenti al programma Windows Logo per il software assume pertanto particolare importanza, in quanto consente di raggiungere il massimo grado di protezione senza compromettere in alcun modo la funzionalità di programma. Questi programmi possono essere eseguiti correttamente all'interno della configurazione protetta fornita dal gruppo Users.

  • Poiché i membri del gruppo Power Users possono installare o modificare programmi, l'esecuzione di un'applicazione come membri di questo gruppo quando si è connessi a Internet potrebbe rendere il sistema vulnerabile a programmi Trojan horse e potrebbe comportare altri rischi in termini di protezione.

Users

Il gruppo Users offre la maggiore protezione, in quanto le autorizzazioni predefinite assegnate a questo gruppo non consentono ai relativi membri di modificare le impostazioni del sistema operativo o i dati di altri utenti.

Il gruppo Users fornisce l'ambiente più sicuro nel quale eseguire programmi. In un volume formattato con il file system NTFS, le impostazioni di protezione predefinite di un sistema installato ex-novo (ma non in un sistema aggiornato) sono progettate per impedire ai membri di questo gruppo di compromettere l'integrità del sistema operativo e delle applicazioni installate. I membri del gruppo Users non possono modificare le impostazioni del Registro di sistema a livello di sistema globale, i file del sistema operativo o i file di programma. Possono chiudere le sessioni delle workstation ma non dei server. Possono inoltre creare gruppi locali, ma gestire solo quelli che hanno creato. I membri del gruppo Users sono autorizzati ad eseguire programmi per Windows 2000, Windows XP Professional o per i prodotti della famiglia Windows Server 2003 appartenenti al programma Windows Logo per il software che sono stati installati o distribuiti dagli amministratori. Dispongono inoltre del controllo completo sui propri file di dati (memorizzati in %userprofile%) e sulle proprie sezioni del Registro di sistema (in HKEY_CURRENT_USER).

Si tenga tuttavia presente che le autorizzazioni a livello utente spesso non consentono all'utente di eseguire applicazioni legacy in modo corretto. Per consentire l'esecuzione di tali applicazioni sarà necessario rendere meno rigido il contesto di protezione relativo ai membri del gruppo Users oppure trasferire tali membri al gruppo Power Users. Entrambe le soluzioni implicano tuttavia una protezione di livello inferiore per l'organizzazione. Poiché i membri del gruppo Users possono utilizzare senza problemi le applicazioni appartenenti al programma Windows Logo per il software, è buona prassi utilizzare esclusivamente applicazioni appartenenti a tale programma. Per ulteriori informazioni, vedere la pagina relativa al programma Windows Logo per il software nel sito Web Microsoft.

Per garantire la protezione di un computer che esegue Windows 2000, Windows XP Professional o un sistema della famiglia Windows Server 2003, l'amministratore deve eseguire le seguenti operazioni:

  • Assicurarsi che gli utenti finali siano membri soltanto del gruppo Users.

  • Distribuire applicazioni eseguibili correttamente dai membri del gruppo Users, ad esempio le applicazioni appartenenti al programma Windows Logo per il software.

I membri del gruppo Users non saranno in grado di eseguire la maggior parte dei programmi sviluppati per le versioni di Windows precedenti a Windows 2000, in quanto tali versioni non supportano la protezione del file system e del Registro di sistema, come nel caso di Windows 95 e Windows 98, oppure vengono forniti con impostazioni di protezione predefinite diverse, come nel caso di Windows NT. Se i membri del gruppo Users hanno problemi nell'eseguire applicazioni legacy su sistemi NTFS appena installati, eseguire una delle operazioni seguenti:

  1. Installare la nuova versione delle applicazioni appartenenti al programma Windows Logo per il software.

  2. Spostare gli utenti finali dal gruppo Users al gruppo Power Users.

  3. Diminuire le autorizzazioni di protezione predefinite per il gruppo Users. È possibile eseguire questa operazione utilizzando un modello di protezione compatibile.

Il gruppo Anonymous non è più membro del gruppo Everyone

Per Windows XP Professional e i sistemi della famiglia Windows Server 2003, il gruppo Anonymous non appartiene più al gruppo Everyone.

Dopo l'aggiornamento di Windows 2000 a Windows XP Professional o a un sistema della famiglia Windows Server 2003, le autorizzazioni di accesso alle risorse concesse al gruppo Everyone, ma non concesse esplicitamente al gruppo Accesso anonimo, non saranno più disponibili per i membri del gruppo Anonymous. Nella maggior parte dei casi, si tratta di una restrizione appropriata per l'accesso anonimo. Potrebbe essere necessario autorizzare l'accesso anonimo per il supporto di applicazioni preesistenti che richiedono questo tipo di accesso. Per concedere l'accesso al gruppo Accesso anonimo, è necessario aggiungere in modo esplicito il gruppo di protezione Accesso anonimo e le autorizzazioni corrispondenti.

Tuttavia, nei casi in cui risulta difficile determinare e modificare le autorizzazioni di accesso alle risorse, è possibile modificare l'impostazione di protezione Accesso di rete: Let Everyone permissions apply to anonymous users.

Altri gruppi

  • Interactive. Questo gruppo contiene automaticamente l'utente attualmente connesso al computer. Durante l'aggiornamento a Windows 2000, Windows XP Professional o a un sistema della famiglia Windows Server 2003, i membri del gruppo Interactive vengono aggiunti al gruppo Power Users in modo da garantire il funzionamento delle applicazioni legacy anche dopo l'aggiornamento.

  • Network. Questo gruppo contiene tutti gli utenti che accedono correntemente al sistema dalla rete.

  • Backup Operators

    I membri del gruppo Backup Operators possono effettuare il backup e il ripristino di file nel computer, indipendentemente dalle autorizzazioni assegnate per tali file. Possono inoltre accedere al computer e arrestarlo, ma non modificare le impostazioni di protezione.

    Attenzione

    • Il backup e il ripristino di file di dati e file di sistema richiedono le autorizzazioni di lettura e scrittura per quei file. Le stesse autorizzazioni predefinite che consentono ai membri del gruppo Backup Operators di effettuare il backup e il ripristino dei file consentono di utilizzare le autorizzazioni del gruppo per altri scopi, come la lettura dei file di un altro utente o l'installazione di programmi Trojan horse. È possibile utilizzare le impostazioni dei Criteri di gruppo per creare un ambiente nel quale soltanto i membri del gruppo Backup Operators possono eseguire un programma di backup. Per ulteriori informazioni, vedere la pagina relativa alla protezione Microsoft nel sito Web Microsoft.

Per ulteriori informazioni, vedere Gruppi predefiniti, Impostazioni predefinite per i servizi e Differenze relative alle impostazioni di protezione predefinite, nonché la pagina relativa alla protezione nel sito Web Microsoft.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft