Windows – Come modificare le impostazioni UAC per garantire agli utenti del gruppo Administrators gli stessi permessi dell’utente Administrator predefinito

How to block File Sharing for one or more IP Addresses in Windows

Questo articolo tratta di un problema che ciascun amministratore di sistema si troverà presto o tardi a dover affrontare lavorando in ambiente Windows e che riguarda lo strano modo di gestire i permessi degli utenti membri del gruppo Administrators rispetto a quelli dell’utente Administrator predefinito.

Partiamo dall’inizio: come tutti sanno, tutte le versioni recenti di Windows (Windows Server 2012, Windows Server 2016, Windows 8.x, Windows 10 e così via) creano durante l’installazione un account predefinito di nome Administrator, membro del gruppo Administrators. Inutile dire che si tratta di un account amministrativo con pieni poteri su tutto il sistema, come del resto è ben spiegato dalla descrizione stessa del gruppo Administrators:

Administrators have complete and unrestricted access to the computer/domain.

Questo ci autorizza a pensare che gli stessi permessi saranno estesi anche a tutti gli altri utenti membri del gruppo Administrators, giusto?

SBAGLIATO.

Al contrario, se creiamo un utente standard e lo inseriamo all’interno del gruppo Administrators, potremo facilmente verificare che questo utente NON sarà dotato degli stessi permessi dell’utente Administrator predefinito. Ecco alcuni esempi:

  • Prendiamo un classico file avente come proprietario l’account SYSTEM e il gruppo Administrators con permessi di controllo completo. Come potremo facilmente vedere, provando a modificare i permessi di questo file con l’account Administrator predefinito non incontreremo problemi di sorta; ci sarà invece impossibile farlo con un qualsiasi altro utente, anche se membro del gruppo Administrators.
  • Proviamo ora ad analizzare il funzionamento della IE Enhanced Security Configuration impostata a OFF per il gruppo Administrators e a ON per il gruppo Users: utilizzando l’account Administrator predefinito quella funzionalità sarà effettivamente disattivata, ma non sarà così per qualsiasi altro utente, anche se membro del gruppo Administrators.

Per farla breve, gli utenti membri del gruppo Administrators non hanno assolutamente gli stessi privilegi riservati all’account Administrator predefinito. Come mai? C’è una spiegazione logica per tutto questo?

Il Problema

La spiegazione, anche se altamente contro intuitiva, c’è. Questo comportamento anomalo è causato dalla funzionalità denominata User Account Control, nota anche come UAC (Controllo Account Utente in lingua italiana), introdotta nelle ultime versioni di Windows per ragioni di sicurezza: nello specifico, questa funzionalità costringe tutti gli utenti che vogliano svolgere una qualsiasi task di natura amministrativa – compresi quelli aventi i privilegi necessari, come i membri del gruppo Administrators – a richiedere esplicitamente l’autorizzazione al sistema. Questo protocollo di sicurezza è governato da due policy ben distinte, entrambe presenti nel seguente nodo delle policy di sistema accessibili tramite gpedit:

La prima policy stabilisce il funzionamento dell’account Administrator predefinito, mentre la seconda riguarda tutti gli amministratori di sistema, ovvero i membri del gruppo Administrators:

  • Controllo Account Utente: modalità Approvazione amministratore per l’account Amministratore predefinito (Disattivato per impostazione predefinita)
  • Controllo Account Utente: esegui tutti gli Amministratori in modalità Approvazione amministratore (Attivato per impostazione predefinita)

Come si può facilmente vedere, la prima policy (se disabilitata) costituisce di fatto una eccezione alla seconda, rendendo l’account Administrator predefinito più libero rispetto alle restrizioni UAC previste per tutti gli altri account amministrativi: questo significa che l’account Administrator potrà effettuare tutte le operazioni senza doversi preoccupare di chiedere l’autorizzazione (tasto destro – esegui come amministratore, e così via).

La Soluzione

Per modificare le impostazioni del nostro sistema per far sì che tutti gli utenti membri del gruppo Administrators possano godere degli stessi diritti dell’account Administrator predefinito è necessario compiere i seguenti passaggi:

  • Avviare gpedit da un prompt dei comandi.
  • Navigare nel nodo 
  • Identificare le seguenti policy: Controllo Account Utente: esegui tutti gli Amministratori in modalità Approvazione amministratore, che dovrebbe trovarsi su Attivato.
  • Impostare la policy suddetta su Disattivato.

Una volta fatto questo Windows chiederà di riavviare il sistema così da poter ricaricare le impostazioni UAC; dopo il riavvio, tutti gli utenti membri del gruppo Administrators potranno finalmente godere degli stessi diritti dell’account Administrator predefinito.

 

RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane.

View all posts by Ryan