Come consentire agli utenti di modificare le impostazioni di rete senza privilegi amministrativi

Di Andrea Mandato Ultimo aggiornamento 01 Giu 2026

In molte organizzazioni è necessario consentire agli utenti di modificare alcune impostazioni di rete del proprio computer, come indirizzo IP, gateway predefinito, server DNS o configurazioni di adattatori di rete, senza concedere privilegi di amministratore locale.

Windows mette a disposizione un gruppo locale dedicato chiamato Network Configuration Operators, progettato proprio per questo scopo. Gli utenti appartenenti a questo gruppo possono gestire le impostazioni di rete del dispositivo senza avere accesso completo alle funzionalità amministrative del sistema.

Questa soluzione è particolarmente utile in ambienti aziendali gestiti tramite Active Directory, Microsoft Entra ID (Azure AD) o Microsoft Intune.

Cos’è il gruppo Network Configuration Operators

Il gruppo locale Network Configuration Operators consente ai membri di:

Modificare la configurazione IP delle schede di rete
Cambiare i server DNS
Configurare gateway e routing
Abilitare o disabilitare adattatori di rete
Gestire alcune impostazioni avanzate di connettività

L’utilizzo di questo gruppo permette di applicare il principio del minimo privilegio, evitando di assegnare diritti amministrativi completi agli utenti.

Individuare il gruppo tramite SID

Poiché il nome del gruppo può variare in base alla lingua del sistema operativo, è consigliabile utilizzare il SID:

S-1-5-32-556

Questo SID identifica sempre il gruppo locale Network Configuration Operators indipendentemente dalla lingua installata sul dispositivo.

PowerShell
CMD

Il seguente script aggiunge automaticamente l’utente attualmente connesso al gruppo locale Network Configuration Operators.


$group = (Get-LocalGroup -SID 'S-1-5-32-556').Name
$user = (Get-CimInstance Win32_ComputerSystem).UserName

if ($user -and -not (Get-LocalGroupMember -Group $group -ErrorAction SilentlyContinue | Where-Object { $_.Name -eq $user })) {
    Add-LocalGroupMember -Group $group -Member $user
}

Lo script:

individua il gruppo tramite SID;
rileva l’utente attualmente connesso;
verifica che non sia già membro del gruppo;
lo aggiunge automaticamente se necessario.

Questo approccio è particolarmente indicato per distribuzioni tramite Microsoft Intune, script di provisioning o processi di onboarding automatici.

Per eseguire la stessa operazione tramite Prompt dei comandi è possibile richiamare PowerShell in modalità compatta:

powershell -NoProfile -ExecutionPolicy Bypass -Command "$g=(Get-LocalGroup -SID 'S-1-5-32-556').Name;$u=(Get-CimInstance Win32_ComputerSystem).UserName;if($u -and -not(Get-LocalGroupMember -Group $g -ErrorAction SilentlyContinue | Where-Object {$_.Name -eq $u})){Add-LocalGroupMember -Group $g -Member $u}"

Questo comando può essere utilizzato all’interno di:

script batch (.cmd o .bat);
task di provisioning;
procedure di installazione automatizzate.

Dopo l’aggiunta dell’utente al gruppo locale, è consigliabile riavviare il computer oppure effettuare una nuova sessione di accesso.

In questo modo il token di sicurezza dell’utente verrà aggiornato e i nuovi privilegi saranno immediatamente disponibili.

L’utilizzo del gruppo locale Network Configuration Operators rappresenta una soluzione semplice ed efficace per delegare la gestione delle impostazioni di rete senza concedere privilegi amministrativi completi.

Grazie a PowerShell e CMD, questa configurazione può essere distribuita in modo automatizzato e coerente su tutti i dispositivi aziendali, migliorando la sicurezza e riducendo il numero di account amministrativi utilizzati dagli utenti finali.