Assegnazione Diritti Utente – Group Policy

L’impostazione Assegnazione diritti utente specifica quali utenti hanno i privilegi e i diritti di accesso per il computer.

Configurazione Computer\Impostazioni di Windows\Criteri locali\Assegnazione diritti utente
(Computer Configuration\
Windows Settings\Security Settings\Local Policies\User Right Assignment)

Accedi dalla rete al computer specificato (Access this computer from the network)
Questa impostazione specifica quali utenti e gruppi possono connettersi al computer tramite la rete.
Questa impostazione è utilizzata da diversi protocolli di rete tra cui SMB, NetBIOS, CIFS, HTTP e COM+.
Questo diritto è quindi necessario per accedere a risorse come le condivisioni e il registro di un computer.
Di default l’utente Everyone ha questo diritto.
Modifiche a questo diritto vengono registrate nel registro di sistema con gli eventi 621(Windows Server 2003) o 4717(Windows Server 2008) e 622(Windows Server 2003) o 4718(Windows Server 2008)
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Administrators, Authenticated Users, Domain Controller
Impostazione predefinita
In workstation e server
Administrators
Backup Operators
Power Users
Users
Everyone
Nei controller di dominio
Administrators
Authenticated Users
Everyone

Accesso come processo batch (Log on as a batch job)
Questa impostazione specifica gli utenti che possono essere utilizzati per schedulare processi tramite l’Utilità di pianificazione.
L’Utilità di pianificazione assegna automaticamente questo diritto quando viene schedulato un processo.
L’impostazione Nega accesso come processo batch ha la precedenza su questa impostazione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Non definito
Impostazione predefinita  Sistema locale

Accesso come servizio (Log on as a service)
Questa impostazione specifica quali utenti possono essere utilizzati per eseguire i servizi.
L’impostazione Nega accesso come servizio ha la precedenza su questa impostazione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        SERVIZIO DI RETE
Impostazione predefinita nessuna

Accesso  locale (Allow log on locally)
Questa impostazione specifica quali utenti possono accedere interattivamente al computer.
Questo diritto è richiesto per accedere premendo CTRL ALT CANC sulla tastiera.
Modifiche a questo diritto vengono registrate nel registro di sistema con gli eventi 621(Windows Server 2003) o 4717(Windows Server 2008) e 622(Windows Server 2003) o 4718(Windows Server 2008)
Legacy Client        Administrators, Backup Operators, Power Users
Enterprise Client    Administrators, Backup Operators, Power Users
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Backup Operators
Power Users
Users
Guest
Nei controller di dominio
Account Operators
Administrators
Backup Operators
Print Operators
Server Operators

Acquisizione proprietà di file o altri oggetti (Take ownership of files or other objects)
Questa impostazione specifica gli utenti che possono acquisire la proprietà di qualsiasi oggetto che può essere protetto nella rete.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita Administrators

Aggiunta di workstation al dominio (Add workstations to domain)
Questa impostazione specifica gli utenti che possono aggiungere computer al dominio.
Di default ognu utente può aggiungere dieci computer al dominio.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori

Agire come parte del sistema operativo (Act as part of the operating system)
Questa impostazione specifica se un processo può assumere l’identità di un utente per avere accesso alle risorse che l’utente è autorizzato a accedere.
L’utilizzo di questo diritto comporta rischi per la sicurezza.
Se un processo richiede questo diritto è consigliato usare l’accont di sistema locale invece che un account utente a cui è stato assegnato il permesso.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita Sistema locale

Arresto del sistema (Shut down the system)
Questa impostazione specifica quali utenti connessi al computer locale possono arrestare il sistema.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Nelle workstation
Administrators
Backup Operators
Power Users
Users
Nei server
Administrators
Backup Operators
Power Users
Nei controller di dominio
Account Operators
Administrators
Backup Operators
Server Operators
Print Operators

Arresto forzato da un sistema remoto (Force shutdown from a remote system)
Questa impostazione specifica gli utenti che possono arrestare i computer da postazioni remote sulla rete.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Nei controller di dominio
Administrators
Server Operators

Aumento della priorità di pianificazione (Increase scheduling priority)
Questa impostazione specifica gli utenti che possono aumentare la classe di priorità di base di un processo.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators

Backup di file e directory (Back up files and directories)
Questa impostazione specifica se gli utenti possono eseguire il backup indipendentemente dai permessi sui file.
Questo diritto viene utilizzando solo quando un’applicazione tenta l’accesso attraverso l’api di backup del file system NTFS.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators e Backup Operators

Blocco di pagine in memoria (Lock pages in memory)
Questa impostazione specifica se un processo può archiviare dati nella memoria fisica per evitare il paging di dati nella memoria virtuale che provoca una diminuzione delle prestazioni.
Questo diritto può causare rischi per la sicurezza perchè un utente che ha questo diritto può assegnare la memoria fisica a certi processi lasciandone poca a disposizione di altri.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita nessuna

Caricamento rimozione di driver di periferica (Load and unload device drivers)
Questa impostazione specifica gli utenti che possono caricare e rimuovere dinamicamente i driver di periferica.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators

Consenti accesso tramite Servizi terminal (Allow log on through Terminal Services)
Questa impostazione specifica quali utenti e gruppi possono effettuare l’accesso come client di Terminal Service.
Modifiche a questo diritto vengono registrate nel registro di sistema con gli eventi 621(Windows Server 2003) o 4717(Windows Server 2008) e 622(Windows Server 2003) o 4718(Windows Server 2008).
Legacy Client        Administrators e Utenti desktop remoto
Enterprise Client    Administrators e Utenti desktop remoto
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Utenti desktop remoto
Nei controller di dominio
Administrators

Creazione di file di paging (Create a pagefile)
Questa impostazione specifica gli utenti che possono creare e modificare la dimensione del file di paging.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Ammnistratori
Impostazione predefinita
Administrators

Creazione di oggetti condivisi permanentemente (Create permanent shared objects)
Questa impostazione specifica gli utenti che possono creare oggetti condivisi permanentemente nel gestore oggetto.
Gli oggetti condivisi permanentemente sono oggetti che non possono essere distrutti da Windows dopo che tutti i riferimenti sono stati cancellati.
Questa impostazione è utile ai componenti in modalità kernel che di solito hanno questo diritto quindi normalmente non è necessario assegnarlo agli utenti.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita: Sistema locale

Creazione di oggetti token (Create a token object)
Questa impostazione specifica gli account che possono essere utilizzati dai processi per la creazione di un token da utilizzare per ottenere accesso a una risorsa locale quando il processo utilizza un’interfaccia api interna per creare un token di accesso.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita Sistema locale

Creazione di profilo del singolo processo (Profile single process)
Questa impostazione specifica gli utenti che possono utilizzare gli strumenti per controllare le prestazioni dei processi non di sistema
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators
Power users
Sistema locale

Creazione di profilo delle prestazioni del sistema (Profile system performance)
Questa impostazione specifica gli utenti che possono utilizzare gli strumenti per controllare le prestazioni dei processi di sistema.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators
Sistema locale

Creazione oggetti globali (Create global objects)
Questa impostazione permette di specificare gli utenti che possono creare oggetti globali che sono disponibili in tutte le sessioni.
In generale non è necessario modificare questa impostazione.
La mancanza di questo permesso può essere la causa di alcuni problemi quando si eseguono programmi in Terminal Service.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori, SERVIZIO

Debug di programmi (Debug programs)
Questa impostazione specifica gli utenti che possono collegare un debugger a un processo o al kernel e che quindi possono accedere a componenti importanti del sistema operativo.
Questo diritto non dovrebbe essere assegnato su server di produzione.
I programmatori non hanno bisogno di questo diritto per i processi in esecuzione con il loro account.
Legacy Client        Non definito
Enterprise Client    Amministratori
High Security        Nessuno
Impostazione predefinita
Administrators
Sistema locale

Esecuzione operazioni di manutenzione volume (Perform volume maintenance tasks)
Questa impostazione specifica gli utenti che possono gestire i volumi e i dischi.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita Administrators

Generazione di controlli di protezione (Generate security audits)
Questa impostazione specifica gli account che possono essere usati da un processo per generare eventi nel registro di protezione.
Questo diritto potrebbe essere usato per generare eventi in modo da riempire il registro di protezione e eliminare le traccie di un attacco.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        SERVIZIO DI RETE, SERVIZIO LOCALE
Impostazione predefinita Sistema locale

Gestione file registro di controllo e di protezione (Manage auditing and security log)
Questa impostazione specifica gli utenti che possono specificare le opzioni di controllo di accesso a oggetti come file e chiavi di registro.
Inoltre permette di visualizzare e pulire il registro di protezione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators

Ignorare controllo incrociato (Bypass traverse checking)
Questa impostazione specifica gli utenti che possono attraversare le strutture di directory anche se non dispongono di autorizzazioni sulle cartelle attraversate.
Questo diritto permette all’utente di attraversare le cartelle senza vedere il contenuto.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Authenticated Users
Impostazione predefinita
In workstation e server
Administrators
Backup Operators
Power Users
Users
Everyone
Nei controller di dominio
Administrators
Authenticated Users

Impostazione account computer ed utente a tipo trusted per la delega (Enable computer and user accounts to be trusted for delegation)
Questa impostazione specifica gli utenti che possono modificare l’impostazione Trusted per la delega di un oggetto utente o computer in Active Directory.
Gli utenti che hanno questo diritto devono avere i permessi in scrittura dei flag di controllo dell’account.
In questo caso per delega non si intende la delega di attività amministrative sull’oggetto.
Per delega si intende la possibilità per le applicazioni di usare le credenziali delegate per accedere a altri server per conto dell’utente.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita Administrators nei controller di dominio

Modifica dei valori di ambiente firmware (Modify firmware environment values)
Questa impostazione controlla il permesso di modificare i valori di ambiente firmware che sono salvati nella RAM non volatile sui computer che non sono x86.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
Administrators
Sistema locale

Modifica dell’orario di sistema (Change the system time)
Questa impostazione specifica quali utenti possono modificare l’ora e la data del computer.
Se l’ora di sistema viene modificata gli eventi vengono registrati con la nuova ora e non con quella effettiva.
Gli eventi 520 (Windows Server 2003) e 4616 (Windows Server 2008) sono associati a questa impostazione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Power Users
Nei controller di dominio
Administrators
Server Operators

Nega accesso al computer dalla rete (Deny access to this computer from the network)
Questa impostazione specifica gli utenti che non possono accedere a un computer dalla rete.
Questa impostazione impedisce l’accesso a diversi protocolli di rete come SMB, NetBIOS, CIFS, HTTP e COM+.
Questa impostazione ha la precedenza sull’impostazione Accedi al computer della rete.
Legacy Client        ACCESSO ANONIMO, Guest; Support_388945a0;
Tutti gli account di servizio NON utilizzati dal sistema operativo
Enterprise Client    ACCESSO ANONIMO, Guest; Support_388945a0;
Tutti gli account di servizio NON utilizzati dal sistema operativo
High Security        ACCESSO ANONIMO, Guest; Support_388945a0;
Tutti gli account di servizio NON utilizzati dal sistema operativo
Impostazione predefinita nessuna

Nega accesso come processo batch (Deny log on as a batch job)
Questa impostazione specifica gli utenti che non possono accedere al computer come processo batch.
Questo tipo di accesso è utilizzato dagli utenti utilizzati per pianificare i processi con l’Utilità di pianificazione.
Questa impostazione ha la precedenza sull’impostazione Accedi come processo batch.
Legacy Client        Guest, Support_388945a0
Enterprise Client    Guest, Support_388945a0
High Security        Guest,  Support_388945a0
Impostazione predefinita  nessuna

Nega accesso come servizio (Deny log on as a service)
Questa impostazione specifica gli utenti che possono essere utilizzati per eseguire i servizi.
Questa impostazione ha la precedenza sull’impostazione Accedi come servizio.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita nessuna

Nega accesso locale (Deny log on locally)
Questa impostazione specifica gli utenti che non possono accedere interattivamente al computer usando la tastiera.
Questa impostazione ha la precedenza sull’impostazione Accesso locale.
Se si assegna questa impostazione a Everyone nessuno può effettuare il logon.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Guest e Support_388945a0
Impostazione predefinita nessuna

Nega accesso tramite Servizi terminal (Deny log on through Terminal Services)
Questa impostazione specifica gli utenti che non possono accedere come clienti di Terminal Services.
Questa impostazione ha la precedenza sull’impostazione Consenti accesso tramite Servizi terminal.
Legacy Client        Guests
Enterprise Client    Guests
High Security        Guests
Impostazione predefinita
nessuna

Rappresenta un client dopo l’autenticazione (Impersonate a client after authentication)
Questa impostazione specifica se le applicazioni eseguite da un utente autenticato possono rappresentare dei client.
Questo diritto permette a un’applicazione server che accetta le connessioni autenticate dei client di impersonare il client mentre accede a risorse sul server per conto dell’utente.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori, SERVIZIO
Impostazione predefinita
Administrators
Service

Regolazione limite risorse memoria per un processo (Adjust memory quotas for a process)
Questa impostazione specifica se gli utenti possono regolare la quantità massima di memoria disponibile per un processo.
L’impostazione è utile per ottimizzare il sistema ma può essere utilizzata per degli attacchi.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Administrators, SERVIZIO DI RETE, SERVIZIO LOCALE
Impostazione predefinita Administrators

Rimozione del computer dall’alloggiamento (Remove computer from docking station)
Questa impostazione specifica gli utenti che possono selezionare Rilascia PC dal menu Avvio per rimuovere un computer portatile dalla docking station.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita disattivata

Ripristino di file e directory (Restore files and directories)
Questa impostazione specifica gli utenti che possono ignorare le autorizzazioni sui file e le directory quando eseguono il ripristino da un backup.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Amministratori
Impostazione predefinita
In workstation e server
Administrators
Backup Operators
Nei controller di dominio
Administrators
Backup Operators
Server Operators

Sincronizzazione dei dati del servizio directory (Synchronize directory service data)
Questo diritto è necessario per utilizzare DirSync.
DirSync è un controllo ADSI che permette a un’applicazione di richiedere periodicamente a Active Directory gli oggetti che sono cambiati dall’ultima richiesta.
Questo diritto non è collegato alla sincronizzazione tra i domain controller.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        Nessuno
Impostazione predefinita nessuna

Sostituzione di token a livello di processo (Replace a process level token)
Questa impostazione specifica gli utenti che possono utilizzare l’api CreateProcessAsUser per avviare un processo con un utente diverso.
Questo diritto viene utilizzato dal servizio Utilità di pianificazione.
Legacy Client        Non definito
Enterprise Client    Non definito
High Security        SERVIZIO LOCALE, SERVIZIO DI RETE
Impostazione predefinita
Servizio di rete
Sistema locale