Come visualizzare utenti e gruppi locali in Windows 10

Su Windows 10 gli utenti e i gruppi locali non sono un dettaglio da amministratori pignoli: sono il punto in cui permessi, accesso ai dati e gestione del PC si incontrano. Se devi capire chi può entrare nel sistema, chi ha diritti amministrativi o quali gruppi sono stati creati per una postazione, il modo più pulito è partire dallo strumento giusto invece di andare a tentativi.

© TrgtKLS • Tech, Sicurezza e Strumenti & guide per Webmaster — https://trgtkls.it — tutti i diritti riservati.

La cosa importante da chiarire subito è questa: non tutte le edizioni di Windows 10 espongono gli stessi strumenti. Le funzioni complete di gestione locale sono disponibili soprattutto nelle edizioni Pro, Enterprise ed Education. Su Home alcune vie classiche, come la console “Utenti e gruppi locali”, non ci sono. In quel caso bisogna passare da PowerShell o dall’interfaccia delle Impostazioni, sapendo però che il livello di dettaglio cambia.

Il modo più veloce: Utenti e gruppi locali

Se hai Windows 10 Pro o superiore, il percorso più diretto per visualizzare utenti e gruppi locali è la console Utenti e gruppi locali. È comoda perché mostra subito l’elenco completo, i gruppi built-in e le appartenenze senza dover filtrare output testuali.

Aprila così: premi Win + R, scrivi lusrmgr.msc e conferma. Si apre una finestra con due rami principali: Utenti e Gruppi. Nel primo trovi gli account locali presenti sulla macchina; nel secondo trovi i gruppi locali, compresi quelli standard come Administrators, Users, Remote Desktop Users e altri eventuali gruppi creati in azienda.

Da lì puoi fare un controllo molto pratico: apri un utente e guardi la scheda delle appartenenze, oppure apri un gruppo e vedi chi ne fa parte. È il metodo migliore quando devi rispondere a domande concrete come “questo PC ha un account locale usato per assistenza?” oppure “chi ha davvero privilegi amministrativi?”.

Se la finestra non si apre e compare un errore del tipo “Windows non riesce a trovare lusrmgr.msc”, non è un guasto del sistema: molto probabilmente sei su Windows 10 Home. In quel caso il controllo va spostato su PowerShell o su strumenti di gestione alternativi.

Visualizzare utenti locali da PowerShell

PowerShell è la strada più pulita quando vuoi un elenco ripetibile, esportabile o da usare in script. Inoltre funziona bene anche quando la GUI non è disponibile o non è sufficiente. Apri PowerShell come utente normale per la sola lettura, oppure come amministratore se poi devi fare anche controlli più ampi.

Per vedere gli utenti locali usa questo comando:

Get-LocalUser

L’output mostra nome, stato dell’account, descrizione e altri campi utili. Se vuoi un elenco più leggibile, puoi selezionare solo alcune proprietà:

Get-LocalUser | Select-Object Name, Enabled, LastLogon

Qui c’è un punto da non sottovalutare: LastLogon non sempre è valorizzato come ti aspetti su ogni macchina o in ogni scenario. Se il dato manca o appare poco affidabile, non inventare conclusioni. La verifica corretta è controllare anche l’attività recente nel Visualizzatore eventi o nel contesto di autenticazione locale, se ti serve capire davvero se un account è usato.

Se vuoi esportare l’elenco in un file per revisioni o audit rapido, puoi usare:

Get-LocalUser | Select-Object Name, Enabled, Description | Export-Csv -Path C:\Temp\local-users.csv -NoTypeInformation

Il vantaggio è semplice: hai un artefatto verificabile. Il file C:\Temp\local-users.csv ti permette di confrontare stati diversi del sistema senza dover rifare la navigazione grafica ogni volta.

Visualizzare gruppi locali da PowerShell

Per i gruppi locali il comando equivalente è:

Get-LocalGroup

Anche qui puoi filtrare le colonne che ti interessano davvero:

Get-LocalGroup | Select-Object Name, Description

Se il tuo obiettivo è capire chi appartiene a un gruppo specifico, il comando più utile è:

Get-LocalGroupMember -Group "Administrators"

Questo è il controllo da fare quando devi verificare se un account locale, un account Microsoft o un account di dominio è stato aggiunto agli amministratori della macchina. Nella pratica è il passaggio che evita molti falsi positivi: vedere un utente presente nel sistema non significa che abbia privilegi elevati; bisogna controllare l’appartenenza ai gruppi.

Se il comando restituisce un errore sul modulo o sulla disponibilità del cmdlet, il caso tipico è una versione di PowerShell non adatta o una piattaforma dove il modulo Microsoft.PowerShell.LocalAccounts non è disponibile. La chiusura del gap è semplice: verifica la versione con $PSVersionTable e controlla la presenza del modulo con Get-Module -ListAvailable Microsoft.PowerShell.LocalAccounts.

Quando il comando funziona, l’output è già sufficiente per la maggior parte dei casi operativi. Se invece devi costruire un inventario, puoi esportarlo in CSV o filtrare solo i membri di un gruppo specifico. Per esempio:

Get-LocalGroupMember -Group "Remote Desktop Users" | Select-Object Name, ObjectClass, PrincipalSource

Il campo PrincipalSource è utile perché ti dice da dove proviene l’oggetto: locale, Active Directory, Microsoft account o altro. È un dettaglio che spesso evita confusione quando sullo stesso PC convivono identità diverse.

Gestione grafica con Computer Management

Un’altra via comoda, soprattutto se preferisci un contesto più ampio, è Gestione computer. Qui trovi gli utenti e i gruppi locali dentro il ramo Strumenti di sistema. Il percorso è: tasto destro su Start, Gestione computer, poi Utenti e gruppi locali.

Rispetto a lusrmgr.msc cambia poco, ma in alcuni ambienti questa strada è più familiare agli operatori che già usano lo snap-in per controllare eventi, condivisioni e archivi. Se lavori su più funzioni della stessa macchina, avere tutto nello stesso contenitore riduce gli errori di navigazione.

Qui il controllo pratico è molto lineare: espandi Utenti per vedere gli account locali, oppure Gruppi per vedere le raccolte di privilegi. Aprendo un gruppo puoi leggere la lista membri e capire subito se ci sono account inattesi. È il caso classico dell’account creato mesi prima per assistenza remota e mai rimosso.

Impostazioni di Windows 10: cosa vedi e cosa no

Le Impostazioni di Windows 10 non sono lo strumento migliore per una visione completa degli utenti e gruppi locali, ma servono a controllare alcuni aspetti dell’accesso al PC. In Impostazioni > Account puoi vedere gli account associati al dispositivo, gli account Microsoft collegati e alcune opzioni di accesso. È utile, ma non sostituisce una vista amministrativa dei gruppi locali.

La differenza è importante: un account presente nelle impostazioni non ti dice automaticamente a quali gruppi locali appartiene. Se il tuo obiettivo è fare audit o troubleshooting dei privilegi, devi comunque passare da lusrmgr.msc, Gestione computer o PowerShell.

Questa distinzione evita un errore comune: confondere l’elenco degli account configurati con l’elenco degli account autorizzati ad agire come amministratori. Sono due cose diverse, e in sicurezza locale è bene trattarle come tali.

Quando il controllo va fatto da riga di comando

La riga di comando non serve solo agli amanti dell’automazione. Serve quando il sistema ha problemi grafici, quando vuoi verifiche rapide su più macchine o quando devi integrare il controllo in uno script di supporto. In contesti di assistenza tecnica, questo fa la differenza tra una verifica puntuale e una serie di clic ripetuti che non lasciano traccia.

Un esempio concreto: se sospetti che un utente sia stato aggiunto al gruppo Administrators, la verifica minima è:

Get-LocalGroupMember -Group "Administrators"

Se vuoi capire quali gruppi locali esistono prima di controllare i membri, usa:

Get-LocalGroup | Sort-Object Name

Se ti serve una fotografia più ampia, puoi combinare i comandi e salvare il risultato. Per esempio, un inventario base degli utenti e dei gruppi locali può essere esportato in due file separati e confrontato nel tempo. Questo è più utile di quanto sembri: quando un endpoint cambia mano o viene riconfigurato, il delta tra due esportazioni racconta subito cosa è cambiato davvero.

Casi particolari: account disabilitati, nomi strani e gruppi nascosti

Non tutti gli account locali hanno un nome intuitivo. Alcuni possono essere disabilitati, altri creati da software di terze parti, altri ancora usati come supporto a servizi o processi. Per questo, limitarsi al nome non basta. Controlla sempre lo stato dell’account, la descrizione e l’appartenenza ai gruppi.

Un account disabilitato in Get-LocalUser non è necessariamente un problema, ma va comunque giustificato. Se il nome sembra generato da un prodotto o da una policy, verifica il contesto prima di rimuoverlo. In ambienti professionali è normale trovare account locali di servizio, purché siano documentati e con privilegi coerenti.

Per i gruppi, il rischio classico è quello dei membri inattesi in gruppi con privilegi indiretti. Un utente può non essere amministratore locale in modo esplicito, ma entrare in gruppi che gli conferiscono accesso a cartelle condivise, desktop remoto o software di gestione. Per questo conviene controllare non solo Administrators, ma anche i gruppi che nel tuo ambiente hanno un significato operativo preciso.

Verifica rapida e criterio operativo

Se vuoi un criterio semplice per scegliere lo strumento, usa questa regola: GUI per controllo veloce singolo, PowerShell per audit e ripetibilità. La console grafica è ottima quando stai davanti alla macchina e devi capire subito chi c’è. PowerShell è migliore quando devi documentare, confrontare o esportare.

Una verifica essenziale, dopo qualsiasi controllo, è confrontare il risultato con l’obiettivo operativo. Se cercavi solo gli utenti locali, non fermarti ai gruppi. Se volevi sapere chi ha privilegi elevati, non limitarti all’elenco degli account. Il punto è sempre lo stesso: verificare il layer giusto, non quello più comodo.

In ambienti dove il controllo accessi è sensibile, conviene anche conservare un piccolo audit: esportazione CSV, data del controllo, nome del PC e gruppo verificato. Non è burocrazia inutile; è il minimo per ricostruire cosa c’era su quella macchina quando è stato fatto il check.

Scelta pratica finale

Per vedere utenti e gruppi locali in Windows 10 hai tre strade solide. lusrmgr.msc è la più immediata sulle edizioni che la supportano. Gestione computer è utile se preferisci un punto unico di amministrazione. PowerShell è la soluzione più robusta quando vuoi ripetibilità, esportazione e controllo da remoto.

Se stai facendo troubleshooting, parti dal dato che ti serve davvero: utenti, gruppi o membri di un gruppo specifico. Se stai facendo amministrazione, documenta il risultato e, quando possibile, esporta l’inventario. È il modo più semplice per evitare di perdere traccia dei privilegi locali nel tempo.