I diritti utente consentono di assegnare privilegi specifici e diritti di accesso a utenti e gruppi. Gli amministratori possono assegnare diritti specifici ad account di gruppo o a singoli account utente. Questi diritti autorizzano gli utenti a eseguire operazioni specifiche, ad esempio l'accesso interattivo a un sistema o il backup di file e directory.

Per semplificare l'attività di amministrazione degli account utente, è consigliabile assegnare privilegi principalmente ad account di gruppo anziché a singoli account utente. Quando si assegnano privilegi a un account di gruppo, tali privilegi vengono automaticamente assegnati agli utenti che diventano membri del gruppo. Questo metodo di amministrazione dei privilegi è di gran lunga più semplice dell'assegnazione di singoli privilegi a ogni account utente che viene creato.

Nella tabella seguente vengono elencati e descritti i privilegi che è possibile concedere a un utente.

Privilegio Descrizione Impostazione predefinita

Agire come parte del sistema operativo

Consente a un processo di rappresentare qualsiasi utente senza autenticazione. In tal modo, il processo può accedere alle stesse risorse locali alle quali ha accesso l'utente.

I processi per cui è necessario questo privilegio devono utilizzare l'account Sistema locale, in cui è già incluso il privilegio, anziché un account utente distinto a cui sia stato espressamente assegnato il privilegio. È necessario assegnare questo privilegio agli utenti solo se l'organizzazione utilizza server che eseguono Windows 2000 o Windows NT 4.0 e applicazioni che scambiano password in testo normale.

Sistema locale

Aggiunta di workstation al dominio

Determina i gruppi o gli utenti autorizzati ad aggiungere workstation a un dominio.

Questo diritto utente è valido solo nei controller di dominio. Per impostazione predefinita, qualsiasi utente autenticato dispone di questo diritto e può creare fino a dieci account computer nel dominio.

L'aggiunta di un account computer nel dominio consente al computer di riconoscere gli account e i gruppi inclusi in Servizi di dominio Active Directory.

Controller di dominio: Authenticated Users

Regolazione limite risorse memoria per un processo

Determina gli utenti autorizzati a modificare il limite massimo di memoria utilizzata da un processo.

Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefiniti e nei criteri di sicurezza locali di workstation e server.

Administrators

Backup di file e directory

Determina gli utenti a cui è consentito eludere autorizzazioni relative a file e directory, impostazioni del Registro di sistema e altre autorizzazioni permanenti per gli oggetti allo scopo di eseguire il backup del sistema.

Administrators e Backup Operators

Ignorare controllo incrociato

Determina gli utenti autorizzati ad attraversare alberi di directory anche se non dispongono delle autorizzazioni necessarie per la directory attraversata. Questo privilegio non consente all'utente di elencare il contenuto di una directory, ma solo di attraversare le directory.

Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefinito e nei criteri di sicurezza locali di workstation e server.

Workstation e server: Administrators, Backup Operators, Power Users, Users ed Everyone

Controller di dominio: Administrators e Authenticated Users

Modifica dell'orario di sistema

Determina gli utenti e i gruppi autorizzati a modificare la data e l'ora dell'orologio interno del computer. Gli utenti a cui viene assegnato questo diritto utente possono influire sull'aspetto dei registri eventi. Se si modifica l'ora di sistema, gli eventi registrati indicheranno l'ora nuova e non quella effettiva in cui si sono verificati.

Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefinito e nei criteri di sicurezza locali di workstation e server.

Workstation e server: Administrators e Power Users

Controller di dominio: Administrators e Server Operators

Creazione di file di paging

Consente all'utente di creare e modificare le dimensioni di un file di paging. A tale scopo, è necessario specificare le dimensioni del file di paging per una determinata unità in Opzioni prestazioni nella scheda Avanzate in Proprietà del sistema.

Administrators

Creazione di oggetti token

Consente a un processo di creare un token da utilizzare per accedere a tutte le risorse locali quando il processo utilizza NtCreateToken() o altre API di creazione di token.

I processi per cui è necessario questo privilegio devono utilizzare l'account di sistema locale, in cui è incluso già il privilegio, anziché un account utente distinto a cui sia stato espressamente assegnato il privilegio.

Nessuno

Creazione oggetti globali

Determina gli account autorizzati a creare oggetti globali in sessioni di Servizi terminal o di Servizi Desktop remoto.

Administrators e Sistema locale

Creazione di oggetti condivisi permanentemente

Consente a un processo di creare un oggetto directory nel gestore di oggetti del sistema operativo. Questo privilegio è utile per i componenti in modalità kernel che estendono lo spazio dei nomi degli oggetti. Non è necessario assegnare tale privilegio ai componenti eseguiti in modalità kernel, in quanto dispongono già intrinsecamente di tale privilegio.

Nessuno

Debug di programmi

Determina gli utenti autorizzati a collegare un debugger a qualsiasi processo o al kernel. Non è necessario assegnare questo diritto utente agli sviluppatori che eseguono il debug delle proprie applicazioni. Non è inoltre necessario assegnare questo diritto utente agli sviluppatori che eseguono il debug di nuovi componenti di sistema. Questo diritto utente consente l'accesso completo a componenti sensibili e critici del sistema operativo.

Administrators e Sistema locale

Impostazione account computer ed utente a tipo trusted per la delega

Determina gli utenti autorizzati a configurare l'impostazione Trusted per la delega in un oggetto utente o computer.

L'utente o l'oggetto cui viene concesso questo privilegio deve disporre di accesso in scrittura ai flag di controllo dell'account nell'oggetto utente o computer. Un processo server in esecuzione in un computer (o in un contesto utente) configurato come trusted per la delega può accedere alle risorse in un altro computer utilizzando le credenziali delegate di un client, a condizione che per l'account del client non sia impostato il flag di controllo dell'account L'account è sensibile e non può essere delegato.

Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefinito e nei criteri di sicurezza locali di workstation e server.

Controller di dominio: Administrators

Arresto forzato da un sistema remoto

Determina gli utenti autorizzati ad arrestare un computer da una posizione remota della rete. L'utilizzo improprio di questo diritto utente può causare condizioni di Denial of Service.

Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefinito e nei criteri di sicurezza locali di workstation e server.

Workstation e server: Administrators

Controller di dominio: Administrators e Server Operators

Generazione di controlli di sicurezza

Determina gli account che possono essere utilizzati da un processo per aggiungere voci al registro sicurezza. Il registro sicurezza consente di tenere traccia degli accessi non autorizzati al sistema. L'utilizzo improprio di questo diritto utente può provocare la generazione di numerosi eventi di controllo, che a loro volta possono nascondere gli indizi di un attacco o provocare un attacco Denial of Service se è selezionata l'impostazione Controllo: arresto del sistema immediato se non è possibile registrare i controlli di sicurezza relativa ai criteri di sicurezza. Per ulteriori informazioni, vedere la pagina relativa all'impostazione Controllo: arresto del sistema immediato se non è possibile registrare i controlli di sicurezza (https://go.microsoft.com/fwlink/?LinkId=136299).

Sistema locale

Rappresenta un client dopo l'autenticazione

Determina gli account autorizzati a rappresentare altri account.

Administrators e Servizio

Aumento della priorità di pianificazione

Determina gli account autorizzati a utilizzare un processo dotato di accesso Proprietà di scrittura a un altro processo per aumentare la priorità di esecuzione assegnata all'altro processo. Un utente che dispone di questo privilegio può modificare la priorità di pianificazione di un processo tramite l'interfaccia utente Gestione attività.

Administrators

Caricamento/rimozione di driver di dispositivo

Determina gli utenti autorizzati a caricare e scaricare dinamicamente driver di dispositivo o altro codice in modalità kernel. Questo diritto utente non può essere utilizzato con driver di dispositivo Plug and Play. Poiché i driver di dispositivo vengono eseguiti come programmi trusted (o con privilegi elevati), è consigliabile non assegnare questo privilegio ad altri utenti. Utilizzare invece l'API StartService().

Administrators

Blocco di pagine in memoria

Determina gli account autorizzati a utilizzare un processo per mantenere i dati nella memoria fisica, impedendo al sistema di eseguire il paging dei dati nella memoria virtuale su disco. L'utilizzo di questo privilegio può influire significativamente sulle prestazioni del sistema riducendo la quantità di memoria ad accesso casuale (RAM) disponibile.

Nessuno. Alcuni processi di sistema dispongono intrinsecamente di questo privilegio.

Gestione file registro di controllo e di sicurezza

Determina gli utenti autorizzati a specificare le opzioni di controllo dell'accesso agli oggetti per singole risorse, ad esempio file, oggetti di Active Directory e chiavi del Registro di sistema.

Questa impostazione di sicurezza non consente a un utente di attivare il controllo dell'accesso a file e oggetti in generale. Per l'attivazione di questo tipo di controllo, è necessario configurare l'impostazione Controlla accesso agli oggetti in Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Criteri controllo. Per ulteriori informazioni, vedere la pagina relativa all'impostazione Controlla accesso agli oggetti (https://go.microsoft.com/fwlink/?LinkId=136283).

È possibile visualizzare gli eventi controllati nel registro sicurezza del Visualizzatore eventi. Un utente dotato di questo privilegio può inoltre visualizzare e cancellare il registro sicurezza.

Administrators

Modifica dei valori di ambiente firmware

Determina gli utenti autorizzati a modificare i valori di ambiente firmware. Le variabili di ambiente del firmware sono impostazioni archiviate nella RAM non volatile dei computer non basati su x86. L'effetto dell'impostazione dipende dal processore.

  • Nei computer basati su x86, l'unico valore di ambiente firmware che può essere modificato tramite l'assegnazione di questo diritto utente è l'impostazione Ultima configurazione valida nota, che deve essere modificata solo dal sistema.

  • Nei computer basati su Itanium, le informazioni di avvio vengono archiviate nella RAM non volatile. Gli utenti devono disporre di questo diritto utente per eseguire Bootcfg.exe e modificare l'impostazione Sistema operativo predefinito in Avvio e ripristino in Proprietà del sistema.

  • In tutti i computer questo diritto utente è necessario per installare o aggiornare Windows.

Administrators e Sistema locale

Creazione di profilo del singolo processo

Determina gli utenti autorizzati a utilizzare gli strumenti di monitoraggio delle prestazioni per monitorare le prestazioni dei processi non di sistema.

Administrators, Power Users e Sistema locale

Creazione di profilo delle prestazioni del sistema

Determina gli utenti autorizzati a utilizzare gli strumenti di monitoraggio delle prestazioni per monitorare le prestazioni dei processi di sistema.

Administrators e Sistema locale

Rimozione del computer dall'alloggiamento

Determina se un utente può disinserire un computer portatile dall'alloggiamento di espansione senza effettuare l'accesso.

Se questo criterio è attivato, l'utente deve effettuare l'accesso prima di rimuovere il computer portatile dall'alloggiamento di espansione. Se questo criterio è disattivato, l'utente può rimuovere il computer portatile dall'alloggiamento di espansione senza effettuare l'accesso.

Disattivato

Sostituzione di token a livello di processo

Determina gli account utente autorizzati ad avviare un processo per sostituire il token predefinito associato a un sottoprocesso avviato.

Questo diritto utente è definito nell'oggetto Criteri di gruppo Criterio controller di dominio predefinito e nei criteri di sicurezza locali di workstation e server.

Servizio locale e Servizio di rete

Ripristino di file e directory

Determina gli utenti a cui è consentito eludere autorizzazioni relative a file e directory, impostazioni del Registro di sistema e altre autorizzazioni permanenti per gli oggetti durante il ripristino di file e directory da un backup, nonché gli utenti autorizzati a impostare come proprietario di un oggetto qualsiasi entità di sicurezza valida.

In particolare, questo diritto utente è simile alla concessione delle autorizzazioni seguenti a un utente o a un gruppo per tutti i file e le cartelle nel sistema.

  • Visita cartella/Esecuzione file

  • Scrittura

Workstation e server: Administrators e Backup Operators

Controller di dominio: Administrators, Backup Operators e Server Operators

Arresto del sistema

Determina quali degli utenti connessi localmente al computer possono arrestare il sistema operativo utilizzando il comando Chiudi sessione. L'utilizzo improprio di questo diritto utente può causare condizioni di Denial of Service.

Workstation: Administrators, Backup Operators, Power Users e Users

Server: Administrators, Backup Operators e Power Users

Controller di dominio: Account Operators, Administrators, Backup Operators, Server Operators e Print Operators

Sincronizzazione dei dati del servizio directory

Determina gli utenti e i gruppi autorizzati a sincronizzare tutti i dati del servizio directory. Questa operazione è nota anche come sincronizzazione di Active Directory.

Nessuno

Acquisizione proprietà di file o di altri oggetti

Determina gli utenti autorizzati ad acquisire la proprietà di qualsiasi oggetto a sicurezza diretta, quali oggetti di Active Directory, file e cartelle, stampanti, chiavi del Registro di sistema, processi e thread.

Administrators

Alcuni privilegi possono sostituire le autorizzazioni impostate per un oggetto. Un utente connesso a un account di dominio come membro del gruppo Backup Operators, ad esempio, dispone del diritto di eseguire operazioni di backup per tutti i server di dominio. A questo scopo, tuttavia, è necessario poter leggere tutti i file in tali server, anche i file per i quali i proprietari abbiano impostato autorizzazioni che negano in modo esplicito l'accesso a tutti gli utenti, inclusi i membri del gruppo Backup Operators. Un diritto utente, in questo caso il diritto a eseguire un backup, ha la precedenza rispetto a tutte le autorizzazioni per file e directory. Per ulteriori informazioni, vedere la pagina relativa al backup e al ripristino (https://go.microsoft.com/fwlink/?LinkID=131606).

Nota

Per visualizzare i privilegi di cui si dispone, è possibile digitare whoami /priv al prompt dei comandi.

Argomenti della Guida