Chiunque lavori come amministratore di sistema su piattaforma Windows Server conosce bene l'importanza che rivestono i permessi utente: nella maggior parte dei casi è opportuno dotare i propri utenti del minimo set di permessi necessario per svolgere le proprie attività, in modo da proteggere l'intera infrastruttura di rete dalle minacce informatiche (Virus, Ransomware, tentativi di Data Breach et similia).
Nonostante questo, in determinati casi può essere necessario concedere temporaneamente a uno o più utenti di di dominio i permessi di installare software, cambiare file degli host e/o altre attività normalmente precluse ai normali utenti su una determinata postazione fisica o virtuale a lui affidata. Per rendere possibile queste attività è possibile procedere in vari modi, che però non sono tutti raccomandabili allo stesso modo. Il motivo per cui ho deciso di scrivere questo articolo è dovuto al fatto che, a seguito di vari confronti con altri colleghi amministratori, ho visto diffondersi una serie di bad practice da cui è bene prendere le distanze.
Vediamo insieme quali sono le modalità a nostra disposizione per aumentare i privilegi dell'utente di dominio sulla macchina locale:
- Aumentare i permessi dell'utente di dominio sull'intero dominio inserendo l'utente in questione nel gruppo dei Power Users o degli Administrators di dominio. Si tratta ovviamente di un metodo non consigliabile, in quanto estende i permessi dell'utente in modo eccessivo.
- Aumentare i permessi dell'intero gruppo di utenti di dominio sul PC locale inserendo l'intero gruppo DOMAINNAME/Domain Users nel gruppo Administrators della macchina locale. Anche questo metodo non è assolutamente consigliabile, in quanto concede i privilegi di amministratore locale a tutti gli utenti del dominio in modo indiscriminato.
- Aumentare i permessi dell'utente di dominio sul PC locale inserendo l'utente in questione nel gruppo dei Power Users o degli Administrators della macchina locale. Questo è senza dubbio il metodo preferibile, limitatamente ai casi in cui è assolutamente necessario procedere in questo modo, in quanto limita l'estensione dei permessi alla macchina locale per quel determinato utente.
Il modo migliore per svolgere questo tipo di attività è utilizzare lo strumento Utenti e Gruppi, raggiungibile dal Pannello di Controllo di Windows nel seguente modo:
- Pannello di Controllo > Strumenti di Amministrazione > Gestione Computer > Utenti e Gruppi
Lo strumento Utenti e Gruppi consente di creare nuovi utenti locali, modificare le impostazioni (nome, password et al.) degli utenti esistenti e aggiungere (o rimuovere) le relazioni tra utenti e/o gruppi locali e/o di dominio.
Aggiungere un utente al gruppo Amministratori
Ci sono due metodi per aggiungere un utente al gruppo Amministratori della macchina locale dallo strumento Utenti e Gruppi:
- Click sulla cartella Utenti per visualizzare l'elenco di tutti gli utenti esistenti.
- Click sull'utente che si vuole aggiungere al gruppo.
- Click sul tab Membro di, che contiene l'elenco dei gruppi di cui l'utente è già membro.
- Click sul pulsante Aggiungi e aggiungere il gruppo Amministratori ai gruppi di cui l'utente è già membro.
oppure:
- Click sulla cartella Gruppi per visualizzare l'elenco di tutti i gruppi esistenti.
- Click sul gruppo Amministratori per visualizzare l'elenco di tutti gli utenti già membri del gruppo.
- Click sul pulsante Aggiungi e aggiungere l'utente che si vuole aggiungere al gruppo.
Questo è tutto!