Группы безопасности Active Directory

Сведения о группах безопасности Active Directory по умолчанию, области групп и функциях групп.

Что такое группа безопасности в Active Directory?

Active Directory имеет две формы общих субъектов безопасности: учетные записи пользователей и учетные записи компьютера. Эти учетные записи представляют собой физическую сущность, которая является пользователем или компьютером. Учетная запись пользователя также может использоваться в качестве выделенной учетной записи службы для некоторых приложений.

Группы безопасности — это способ сбора учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы.

В операционной системе Windows Server (ОС) несколько встроенных учетных записей и групп безопасности предварительно настроены с соответствующими правами и разрешениями для выполнения определенных задач. В Active Directory административные обязанности разделены на два типа администраторов:

• Администраторы служб: ответственность за обслуживание и доставку доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.

• Администраторы данных: ответственность за обслуживание данных, хранящихся в AD DS и на серверах-членах домена и рабочих станциях.

Как работают группы безопасности Active Directory

Используйте группы для сбора учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами вместо отдельных пользователей помогает упростить обслуживание сети и администрирование.

Active Directory имеет два типа групп:

• Группы безопасности. Используйте для назначения разрешений общим ресурсам.

• Группы рассылки: создание списков рассылки электронной почты.

Группы безопасности

Группы безопасности могут обеспечить эффективный способ назначения доступа к ресурсам в сети. С помощью групп безопасности можно выполнять следующие действия.

• Назначение прав пользователей группам безопасности в Active Directory.

  Назначьте права пользователя группе безопасности, чтобы определить, какие члены этой группы могут выполнять в пределах домена или леса. Права пользователя автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль пользователя в домене.

  Например, пользователь, добавляемый в группу операторов резервного копирования в Active Directory, может создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене. Пользователь может выполнить эти действия, так как по умолчанию файлы резервного копирования и каталогиправ пользователя, а также файлы восстановления и каталоги автоматически назначаются группе операторов резервного копирования. Поэтому члены этой группы наследуют права пользователя, назначенные этой группе.

  Групповую политику можно использовать для назначения прав пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в разделе "Назначение прав пользователей".

• Назначьте разрешения группам безопасности для ресурсов.

  Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу и уровню доступа, например полный контроль или чтение. Некоторые разрешения, заданные для объектов домена, автоматически назначаются, чтобы разрешить различные уровни доступа к группам безопасности по умолчанию, таким как группа "Операторы учетных записей" или группа "Администраторы домена".

  Группы безопасности перечислены в списках по усмотрению контроль доступа списки (DACLs), определяющие разрешения на ресурсы и объекты. Когда администраторы назначают разрешения для ресурсов, таких как общие папки или принтеры, они должны назначать эти разрешения группе безопасности вместо отдельных пользователей. Разрешения назначаются группе один раз вместо нескольких раз каждому отдельному пользователю. Каждая учетная запись, добавленная в группу, получает права, назначенные этой группе в Active Directory. Пользователь получает разрешения, определенные для этой группы.

Группу безопасности можно использовать в качестве сущности электронной почты. Отправка сообщения электронной почты в группу безопасности отправляет сообщение всем членам группы.

Группы рассылки

Группы рассылки можно использовать только для отправки электронной почты в коллекции пользователей с помощью почтового приложения, например Exchange Server. Группы рассылки не включены в систему безопасности, поэтому их нельзя включить в списки управления доступом.

Групповая область

Каждая группа имеет область, которая определяет степень применения группы в дереве домена или лесу. Область группы определяет, где в сетевых разрешениях можно предоставить группе. Active Directory определяет следующие три области группы:

• Universal

• Global

• Локальный домен

В следующей таблице описаны три области групп и их работа в качестве групп безопасности.

Специальные группы удостоверений

Специальная группа идентичностей — это когда определенные специальные идентичности объединяются вместе. Специальные группы удостоверений не имеют конкретного членства, которые можно изменить, но они могут представлять разных пользователей в разное время в зависимости от обстоятельств. К этим группам относятся Создатель (владелец), Пакет и Аутентифицированный пользователь.

Дополнительные сведения см. в разделе "Специальные группы удостоверений".

Группы безопасности по умолчанию

Группы администраторов домена по умолчанию — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Эти предопределенные группы помогают управлять доступом к общим ресурсам и делегировать определенные административные роли на уровне домена.

Многие группы по умолчанию автоматически назначают набор прав пользователя, которые разрешают членам группы выполнять определенные действия в домене, например вход в локальную систему или резервное копирование файлов и папок. Например, член группы операторов резервного копирования может выполнять операции резервного копирования для всех контроллеров домена в домене.

При добавлении пользователя в группу пользователь получает все права пользователя, назначенные группе, включая все разрешения, назначенные группе для всех общих ресурсов.

Группы по умолчанию находятся в встроенном контейнере и в контейнере "Пользователи" в Active Directory Users and Computers. Контейнер Builtin включает группы, определенные с помощью области "Локальный домен". Контейнер "Пользователи" включает группы, определенные с глобальной областью и группами, определенными с локальной областью домена. Группы, расположенные в этих контейнерах, можно переместить в другие группы или организационные подразделения в домене, но их нельзя переместить в другие домены.

Некоторые административные группы, перечисленные в этой статье, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп перезаписывается с помощью защищенных параметров.

Дескриптор безопасности присутствует в объекте AdminSDHolder. Если вы хотите изменить разрешения для одной из групп администраторов служб или любой из ее учетных записей-членов, необходимо изменить дескриптор безопасности в объекте AdminSDHolder таким образом, чтобы он применялся последовательно. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, применяемые ко всем защищенным административным учетным записям.

Группы безопасности Active Directory по умолчанию

В следующем списке приведены описания групп по умолчанию, расположенных в контейнерах "Встроенные" и "Пользователи" в Active Directory:

• Операторы помощи контроль доступа
• Операторы учетной записи
• Administrators
• Разрешенная репликация паролей RODC
• Операторы резервного копирования
• Доступ К службе сертификатов DCOM
• Издатели сертификатов
• Клонируемые контроллеры домена
• Криптографические операторы
• Отказано в репликации паролей RODC
• Владельцы устройств
• Администраторы DHCP
• Пользователи DHCP
• Распределенные com-пользователи
• DnsUpdateProxy
• DnsAdmins
• Администраторы домена
• Компьютеры домена
• Контроллеры домена
• Гости домена
• Пользователи домена
• Администраторы предприятия
• Администраторы ключей предприятия
• Контроллеры домена только для чтения предприятия
• Средства чтения журналов событий
• Владельцы создателей групповой политики
• Guests
• Hyper-V Администраторы
• IIS_IUSRS
• Построитель доверия входящего леса
• Администраторы ключей
• Операторы конфигурации сети
• Пользователи журнала производительности
• пользователи Монитор производительности
• Доступ, совместимый с Windows 2000
• Операторы печати
• Защищенные пользователи
• Серверы RAS и IAS
• Серверы конечных точек RDS
• Серверы управления удаленными рабочими столами
• Серверы удаленного доступа RDS
• Контроллеры домена только для чтения
• Пользователи удаленного рабочего стола
• Пользователи удаленного управления
• Replicator
• Администраторы схемы
• Операторы сервера
• Администраторы реплики хранилища
• Системные управляемые учетные записи
• Серверы лицензирования сервера терминалов
• Users
• Доступ к авторизации Windows
• WinRMRemoteWMIUsers_

Операторы помощи по контролю учетных записей

Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.

Группа операторов помощи управления доступом применяется к ОС Windows Server, указанной в таблице групп безопасности Active Directory по умолчанию.

Операторы учетной записи

Группа операторов учетных записей предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи для пользователей, локальных групп и глобальных групп. Участники группы могут входить локально в контроллеры домена.

Участники группы «Операторы учетных записей» не могут изменять права пользователей. Кроме того, участники этой группы не могут управлять следующими учетными записями и группами:

• Учетная запись пользователя администратора
• Учетные записи пользователей администраторов
• Administrators
• Операторы сервера
• Операторы учетной записи
• Операторы резервного копирования
• Операторы печати

Группа операторов учетных записей применяется к ОС Windows Server в списке групп безопасности Active Directory по умолчанию .

Administrators

Члены группы администраторов имеют полный и неограниченный доступ к компьютеру. Если компьютер повышен до контроллера домена, члены группы администраторов имеют неограниченный доступ к домену.

Группа администраторов применяется к ОС Windows Server в списке групп безопасности Active Directory по умолчанию .

Эта группа безопасности изменилась следующим образом с Windows Server 2008:

• Изменения прав пользователя по умолчанию: разрешить вход через службы терминалов существовали в Windows Server 2008. Он был заменен разрешением входа через службы удаленных рабочих столов.

• Удаление компьютера из станции док-станции было удалено в Windows Server 2012 R2.

Разрешенная репликация паролей RODC

Цель этой группы безопасности — управлять политикой репликации паролей только для чтения (RODC). Эта группа не имеет элементов по умолчанию, и это приводит к условию, что новые контроллеры домена не кэшируют учетные данные пользователя. Группа репликации паролей RODC запрещена, содержит различные учетные записи с высоким уровнем привилегий и группы безопасности. Группа репликации паролей RODC запрещена, заменяет группу разрешенной репликации паролей RODC.

Разрешенная группа репликации паролей RODC применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Операторы резервного копирования

Члены группы операторов резервного копирования могут создавать резервные копии и восстанавливать все файлы на компьютере независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут войти в систему и завершить работу компьютера. Эту группу нельзя переименовать, удалить или удалить. По умолчанию эта встроенная группа не имеет членов, и она может выполнять операции резервного копирования и восстановления на контроллерах домена. Члены следующих групп могут изменять членство в группах операторов резервного копирования: администраторы служб по умолчанию, администраторы домена в домене и администраторы предприятия. Члены группы операторов резервного копирования не могут изменять членство в каких-либо административных группах. Хотя члены этой группы не могут изменять параметры сервера или конфигурацию каталога, у них есть разрешения, необходимые для замены файлов (включая файлы ОС) на контроллерах домена. Поскольку члены этой группы могут заменить файлы на контроллерах домена, они считаются администраторами служб.

Группа операторов резервного копирования применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Доступ DCOM службы сертификации

Члены этой группы могут подключаться к центрам сертификации в организации.

Группа доступа DCOM службы сертификатов применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Издатели сертификатов

Члены группы издателей сертификатов авторизованы на публикацию сертификатов для объектов user в Active Directory.

Группа издателей сертификатов применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Клонируемые контроллеры домена

Члены группы «Клонируемые контроллеры домена», которые являются контроллерами домена, могут быть клонированы. В Windows Server 2012 R2 и Windows Server 2012 можно развернуть контроллеры домена, скопировав существующий виртуальный контроллер домена. В виртуальной среде не удается повторно развернуть образ сервера, подготовленный с помощью Sysprep.exe. Продвижение сервера на контроллер домена, а затем выполнение дополнительных требований к конфигурации для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена в эту группу безопасности), также запрещено.

Дополнительные сведения см. в разделе "Безопасная виртуализация домен Active Directory служб (AD DS)".

Криптографические операторы

Членам этой группы разрешено выполнение операций криптографии. Эта группа безопасности была добавлена в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев.

Группа операторов шифрования применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа безопасности появилась в Windows Vista с пакетом обновления 1 (SP1). В последующих версиях изменения не были внесены.

Отказано в репликации паролей RODC

Пароли членов группы репликации паролей RODC отказано в ней не могут быть реплицированы.

Цель этой группы безопасности — управлять политикой репликации паролей RODC. Эта группа содержит различные учетные записи с высоким уровнем привилегий и группы безопасности. Группа репликации паролей RODC запрещена, заменяет группу разрешенной репликации паролей RODC.

Эта группа безопасности включает следующие изменения с Windows Server 2008:

• Windows Server 2012 изменил члены по умолчанию, чтобы включить издателей сертификатов.

Владельцы устройств

Если у группы владельцев устройств нет участников, рекомендуется не изменять конфигурацию по умолчанию для этой группы безопасности. Изменение конфигурации по умолчанию может препятствовать будущим сценариям, которые зависят от этой группы. В настоящее время группа владельцев устройств не используется в Windows.

Группа владельцев устройств применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Администраторы DHCP

Члены группы администраторов DHCP могут создавать, удалять и управлять различными областями области действия сервера. Это включает в себя права на резервное копирование и восстановление базы данных протокола DHCP (Dynamic Host Configuration Protocol). Несмотря на то, что эта группа имеет права администратора, она не является частью группы "Администраторы", так как эта роль ограничена службами DHCP.

Группа администраторов DHCP применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи DHCP

Члены группы «Пользователи DHCP» могут видеть, какие области активны или неактивны, в том числе какие IP-адреса назначены, а также просматривать проблемы с подключением, если сервер DHCP настроен неправильно. Эта группа ограничена доступом только для чтения к DHCP-серверу.

Группа "Пользователи DHCP" применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи DCOM

Члены группы распределенных пользователей COM могут запускать, активировать и использовать распределенные COM-объекты на компьютере. Объектная модель компонента Майкрософт (COM) — это независимая от платформы распределенная объектная система для создания двоичных компонентов программного обеспечения, которые могут взаимодействовать. Распределенная объектная модель компонента (DCOM) позволяет приложениям распределяться по расположениям, которые наиболее понятны для вас и приложения. Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит главный образец операций (также называемый гибкими отдельными основными операциями или FSMO).

Группа распределенных пользователей COM применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

DnsUpdateProxy

Члены группы DnsUpdateProxy — это DNS-клиенты. Они могут выполнять динамические обновления от имени других клиентов, например для DHCP-серверов. DNS-сервер может разрабатывать устаревшие записи ресурсов, если DHCP-сервер настроен для динамической регистрации записей ресурсов узла (A) и записей ресурсов указателя (PTR) от имени DHCP-клиентов с помощью динамического обновления. Добавление клиентов в эту группу безопасности устраняет этот сценарий.

Чтобы защититься от незащищенных записей или разрешить членам группы DnsUpdateProxy регистрировать записи в зонах, где разрешены только защищенные динамические обновления, необходимо создать выделенную учетную запись пользователя и настроить DHCP-серверы для выполнения динамических обновлений DNS с использованием учетных данных (имени пользователя, пароля и домена) этой учетной записи. Несколько DHCP-серверов могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует только в том случае, если роль DNS-сервера установлена или была установлена на контроллере домена в домене.

Дополнительные сведения см. в статье о владельцах записей DNS и группе DnsUpdateProxy.

DnsAdmins

Члены группы DnsAdmins имеют доступ к сведениям о сети DNS. Разрешения по умолчанию: чтение, запись, создание всех дочерних объектов, удаление дочерних объектов, специальные разрешения. Эта группа существует только в том случае, если роль DNS-сервера установлена или была установлена на контроллере домена в домене.

Дополнительные сведения о безопасности и DNS см . в статье DNSSEC в Windows Server 2012.

Администраторы домена

Члены группы безопасности администраторов домена могут администрировать домен. По умолчанию группа «Администраторы домена» является членом группы «Администраторы» на всех компьютерах, присоединяющихся к домену, включая контроллеры домена. Группа "Администраторы домена" является владельцем любого объекта, созданного в Active Directory для домена любым членом группы. Если члены группы создают другие объекты, например файлы, владелец по умолчанию — это группа "Администраторы".

Группа администраторов домена управляет доступом ко всем контроллерам домена в домене и может изменить членство всех административных учетных записей в домене. Члены групп администраторов служб в своем домене (администраторы и администраторы домена) и члены группы администраторов предприятия могут изменять членство администраторов домена. Эта группа считается учетной записью администратора службы, так как ее члены имеют полный доступ к контроллерам домена в домене.

Группа администраторов домена применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Компьютеры в домене

В эту группу могут входить все компьютеры и серверы, которые присоединяются к домену, за исключением контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.

Группа "Компьютеры домена" применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Контроллеры домена

Группа контроллеров домена может включать все контроллеры домена в домен. Новые контроллеры домена автоматически добавляются в эту группу.

Группа контроллеров домена применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Гости домена

Группа "Гости домена" включает встроенную гостевую учетную запись домена. Когда члены этой группы войдите в качестве локальных гостей на компьютере, присоединенном к домену, на локальном компьютере создается профиль домена.

Группа "Гости домена" применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи домена

Группа "Пользователи домена" включает все учетные записи пользователей в домене. Когда вы создаете учетную запись пользователя в домене, она добавляется в эту группу по умолчанию.

По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится членом этой группы. Эту группу можно использовать для представления всех пользователей в домене. Например, если у всех пользователей домена есть доступ к принтеру, вы можете назначить разрешения для принтера этой группе или добавить группу "Пользователи домена" в локальную группу на сервере печати с разрешениями принтера.

Группа "Пользователи домена" применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Администраторы предприятия

Группа администраторов предприятия существует только в корневом домене леса Доменов Active Directory. Группа является универсальной группой, если домен находится в собственном режиме. Группа — это глобальная группа, если домен находится в смешанном режиме. Члены этой группы имеют право вносить изменения на уровне всего леса в Active Directory, например, добавлять дочерние домены.

По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа автоматически добавляется в группу "Администраторы" в каждом домене леса и предоставляет полный доступ к настройке всех контроллеров домена. Члены этой группы могут изменять членство во всех административных группах. Члены групп администраторов служб по умолчанию в корневом домене могут изменять членство администраторов предприятия. Эта группа считается учетной записью администратора службы.

Группа администраторов предприятия применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Администраторы корпоративных ключей

Члены этой группы могут выполнять административные действия по ключевым объектам в лесу.

Контроллеры домена только для чтения предприятия

Члены этой группы являются контроллерами домена в организации. За исключением паролей учетных записей, RODC содержит все объекты и атрибуты Active Directory, которые содержит контроллер домена, доступный для записи. Однако изменения нельзя вносить в базу данных, хранящуюся в RODC. Изменения необходимо вносить на контроллер домена, доступный для записи, а затем реплицировать в RODC.

РОДК устраняют некоторые проблемы, которые часто находятся в филиалах. Эти расположения могут не иметь контроллер домена, или у них может быть доступный для записи контроллер домена, но не физическая безопасность, пропускная способность сети или локальный опыт поддержки.

Дополнительные сведения см. в статье о том, что такое RODC?

Группа контроллеров домена только для чтения предприятия применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Читатели журнала событий

Члены этой группы могут считывать журналы событий с локальных компьютеров. Группа создается при повышении уровня сервера до контроллера домена.

Группа читателей журналов событий применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Владельцы-создатели групповой политики

Эта группа авторизована на создание, изменение и удаление объектов групповой политики в домене. По умолчанию единственным членом группы является администратор.

Сведения о других функциях, которые можно использовать с этой группой безопасности, см . в обзоре групповой политики.

Группа владельцев групповой политики применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Guests

Члены группы гостей имеют тот же доступ, что и члены группы "Пользователи" по умолчанию, за исключением того, что у гостевой учетной записи есть дополнительные ограничения. По умолчанию единственным членом является гостевая учетная запись. Группа гостей позволяет случайным или однократным пользователям входить с ограниченными привилегиями в встроенную гостевую учетную запись компьютера.

При выходе из группы гостей весь профиль удаляется. Удаление профиля включает все, что хранится в каталоге %userprofile% , включая сведения о реестре пользователя, значки пользовательского рабочего стола и другие параметры пользователя. Это означает, что гость должен использовать временный профиль для входа в систему. Эта группа безопасности взаимодействует с параметром групповой политики. Если эта группа безопасности включена, не войдите на пользователей с временными профилями. Чтобы получить доступ к этому параметру, перейдите к конфигурации компьютера>административным шаблонам>системы>профилям пользователей.

Группа гостей применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Администраторы Hyper-V

Члены группы администраторов Hyper-V имеют полный и неограниченный доступ ко всем функциям в Hyper-V. Добавление участников в эту группу помогает сократить количество участников, необходимых в группе "Администраторы", и дальнейшее разделение доступа.

IIS_IUSRS

IIS_IUSRS — это встроенная группа, используемая службами IIS, начиная с IIS 7. Встроенная учетная запись и группа гарантированно всегда имеют уникальный идентификатор безопасности. IIS 7 заменяет учетную запись IUSR_MachineName и группу IIS_WPG группой IIS_IUSRS, чтобы убедиться, что фактические имена новой учетной записи и группы никогда не локализованы. Например, независимо от языка устанавливаемой ОС Windows, имя учетной записи IIS — IUSR, а имя группы — IIS_IUSRS.

Дополнительные сведения см. в статье "Общие сведения о встроенных учетных записях пользователей и групп" в IIS 7.

Построитель доверия входящего леса

Члены группы "Построитель доверия входящего леса" могут создавать входящие, односторонние отношения доверия к этому лесу. Active Directory обеспечивает безопасность между несколькими доменами или лесами через отношения доверия между доменами и лесами. Прежде чем аутентификация может быть выполнена в рамках доверительных отношений, Windows должна определить, имеет ли домен, запрашиваемый пользователем, компьютером или службой, доверительные отношения с доменом входа в учетную запись, которая запрашивает.

Чтобы сделать это, система безопасности Windows вычисляет путь доверия между контроллером домена для сервера, который получает запрос и контроллер домена в домене запрашивающей учетной записи. Защищенный канал распространяется на другие домены Active Directory с помощью отношений доверия между доменами. Этот защищенный канал используется для получения и проверки сведений о безопасности, включая идентификаторы SID для пользователей и групп.

Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Дополнительные сведения см. в разделе "Как работает домен и лес доверия".

Группа "Входящий доверительный лес" используется в ОС Windows Server в группах безопасности Active Directory по умолчанию.

Администраторы ключей

Члены этой группы могут выполнять административные действия по ключевым объектам в домене.

Группа "Администраторы ключей" применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Операторы настройки сети

Члены группы операторов конфигурации сети могут иметь следующие административные права для управления конфигурацией сетевых функций:

• Измените свойства протокола управления передачей или протокола TCP/IP для подключения к локальной сети (LAN), включая IP-адрес, маску подсети, шлюз по умолчанию и серверы имен.

• Переименуйте подключения локальной сети или подключения удаленного доступа, доступные всем пользователям.

• Включение или отключение подключения локальной сети.

• Измените свойства всех подключений удаленного доступа пользователей.

• Удалите все подключения удаленного доступа пользователей.

• Переименуйте все подключения удаленного доступа пользователей.

• Проблема ipconfigи ipconfig /releaseipconfig /renew команды.

• Введите ключ разблокировки ПИН-кода (PUK) для мобильных широкополосных устройств, поддерживающих SIM-карту.

Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа операторов конфигурации сети применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи журналов производительности

Члены группы "Пользователи журналов производительности" могут управлять счетчиками производительности, журналами и оповещениями локально на сервере и удаленных клиентах, не являясь членом группы "Администраторы". В частности, члены этой группы безопасности:

• Можно использовать все функции, доступные группе Монитор производительности "Пользователи".

• Может создавать и изменять наборы сборщиков данных после назначения группы в качестве пользователя пакетного задания в качестве пользователя пакетного задания .

  Warning

  Если вы являетесь членом группы пользователей журнала производительности, необходимо настроить наборы сборщиков данных, создаваемые для выполнения под учетными данными.

  Note

  В Windows Server 2016 и более поздних версий член группы пользователей журнала производительности не может создавать наборы сборщиков данных. Если член группы пользователей журнала производительности пытается создать наборы сборщиков данных, они не могут завершить действие, так как доступ запрещен.

• Не удается использовать поставщик событий трассировки ядра Windows в наборах сборщиков данных.

Чтобы участники группы "Пользователи журналов производительности" запускали ведение журнала данных или изменение наборов сборщиков данных, группа сначала должна быть назначена учетной записи в качестве пользователя пакетного задания . Чтобы назначить это право, используйте оснастку "Локальная политика безопасности" в консоли управления Майкрософт (MMC).

Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту учетную запись нельзя переименовать, удалить или переместить.

Группа пользователей журнала производительности применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи монитора производительности

Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в домене, локально и из удаленных клиентов, не являясь членом групп администраторов или пользователей журналов производительности. Windows Монитор производительности — это оснастка MMC, которая предоставляет средства для анализа производительности системы. В одной консоли можно отслеживать производительность приложений и оборудования, настраивать данные, которые вы хотите собирать в журналах, определять пороговые значения оповещений и автоматических действий, создавать отчеты и просматривать прошлые данные о производительности различными способами.

В частности, члены этой группы безопасности:

• Можно использовать все функции, доступные группе "Пользователи".

• Может просматривать данные о производительности в режиме реального времени в Монитор производительности.

• Может изменить свойства Монитор производительности при просмотре данных.

• Не удается создать или изменить наборы сборщиков данных.

Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа "Пользователи монитора производительности" применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Доступ, совместимый с Windows 2000

Члены группы доступа с поддержкой Windows 2000 имеют доступ на чтение для всех пользователей и групп в домене. Эта группа предоставляется для обеспечения обратной совместимости для компьютеров под управлением Windows NT 4.0 и более ранних версий. По умолчанию специальная группа удостоверений "Все" входит в эту группу. Добавьте пользователей в эту группу только в том случае, если они работают под управлением Windows NT 4.0 или более ранней версии.

Группа доступа, совместимая с предыдущими версиями Windows 2000, применяется к ОС Windows Server в стандартных группах безопасности Active Directory.

Операторы печати

Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры, подключенные к контроллерам домена в домене. Они также могут управлять объектами принтера Active Directory в домене. Члены этой группы могут локально войти в домен и завершить работу контроллеров домена.

По умолчанию в эту группу не входит ни один участник. Так как члены этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в домене, добавьте пользователей с осторожностью. Эту группу нельзя переименовать, удалить или удалить.

Группа операторов печати применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Дополнительные сведения см. в разделе "Назначение делегированного администратора печати" и параметров разрешений принтера в Windows Server 2012.

Защищенные пользователи

Члены группы защищенных пользователей имеют дополнительную защиту от компрометации учетных данных во время процессов проверки подлинности.

Эта группа безопасности предложена в рамках стратегии эффективной защиты и управления учетными данными внутри предприятия. К учетным записям участников этой группы автоматически применяется ненастраиваемая защита. По умолчанию предполагается, что членство в группе защищенных пользователей накладывает определенные ограничения и обеспечивает профилактическую защиту. Единственным способом изменения защиты учетной записи является удаление учетной записи из группы безопасности.

Эта глобальная группа, связанная с доменом, активирует неконфигурируемую защиту на устройствах и узлах, начиная с Windows Server 2012 R2 и Windows 8.1 OS. Он также активирует ненастраиваемую защиту на контроллерах домена в доменах с основным контроллером домена под управлением Windows Server 2016 или Windows Server 2012 R2. Эта защита значительно сокращает объем памяти, занимаемый учетными данными, когда пользователи входят в систему на компьютерах в сети с нескомпрометированного компьютера.

В зависимости от функционального уровня домена учетной записи члены группы "Защищенные пользователи" дополнительно защищены из-за изменений поведения в методах проверки подлинности, поддерживаемых в Windows:

• Члены группы защищенных пользователей не могут пройти проверку подлинности с помощью следующих поставщиков поддержки безопасности (SSPS): NTLM, дайджест-аутентификации или CredSSP. Пароли не кэшируются на устройстве под управлением Windows 10 или Windows 8.1. Устройству не удается пройти проверку подлинности в домене, если учетная запись является членом группы «Защищенный пользователь».

• Протокол Kerberos не использует более слабые типы шифрования DES или RC4 в процессе предварительной аутентификации. Домен должен быть настроен для поддержки по крайней мере набора шифров AES.

• Учетная запись пользователя не может быть делегирована с помощью ограниченного или неограниченного делегирования Kerberos. Если пользователь является членом группы "Защищенные пользователи", более ранние подключения к другим системам могут завершиться ошибкой.

• Вы можете изменить настройку времени существования билетов Kerberos (TGTs) по умолчанию, равную четырём часам, с помощью политик проверки подлинности и силосов в Центре администрирования Active Directory. В настройках по умолчанию пользователь должен пройти аутентификацию по истечении четырех часов.

Группа защищенных пользователей применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о том, как работает эта группа, см. в разделе "Защищенные пользователи".

В следующей таблице указаны свойства группы защищенных пользователей:

Серверы RAS и IAS

Компьютеры, которые являются членами группы серверов RAS и IAS, при правильной настройке, могут использовать службы удаленного доступа. По умолчанию эта группа не имеет членов. Компьютеры, работающие под управлением службы маршрутизации и удаленного доступа (RRAS), а также службы удаленного доступа, такие как служба проверки подлинности Интернета (IAS) и серверы политики сети, добавляются в группу автоматически. Члены этой группы имеют доступ к определенным свойствам объектов Пользователей, таким как ограничения для чтения учетных записей, сведения о входе в систему и сведения о удаленном доступе для чтения.

Группа серверов RAS и IAS применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Серверы конечных точек RDS

Серверы, которые являются членами группы конечных точек RDS, могут запускать виртуальные машины и сеансы узлов, где выполняются пользовательские программы RemoteApp и личные виртуальные рабочие столы. Эту группу необходимо заполнить на серверах, на которых запущен брокер подключений к удаленным рабочим столам. Серверы узла сеансов и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе.

Дополнительные сведения о службах удаленных рабочих столов (RDS) см. в разделе "Службы удаленных рабочих столов" в Windows Server.

Серверы управления удаленными рабочими столами

Серверы, которые являются членами группы серверов управления удаленными рабочими столами, можно использовать для выполнения стандартных административных действий на серверах под управлением RDS. Эту группу необходимо заполнить на всех серверах в развертывании RDS. Серверы, на которых работает служба центра управления RDS, должны быть включены в эту группу.

Серверы удаленного доступа RDS

Серверы в группе серверов удаленного доступа RDS предоставляют пользователям доступ к программам RemoteApp и личным виртуальным рабочим столам. В развертываниях, подключенных к Интернету, эти серверы обычно развертываются в пограничной сети. Эту группу необходимо заполнить на серверах, на которых запущен брокер подключений к удаленным рабочим столам. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, которые используются в развертывании, должны находиться в этой группе.

Дополнительные сведения см. в разделе "Службы удаленных рабочих столов" в Windows Server.

Контроллеры домена только для чтения

Эта группа состоит из контроллеров домена. RODC позволяет организациям легко развертывать контроллер домена в сценариях, в которых физическая безопасность не может быть гарантирована. Например, когда расположение филиалов или локальное хранение всех паролей домена считается основной угрозой, например в экстрасети или роли, обращенной к приложениям.

Так как вы можете делегировать администрирование RODC пользователю домена или группе безопасности, rodC хорошо подходит для сайта, который не должен иметь пользователя, который является членом группы администраторов домена. RodC имеет следующие функции:

• Содержит базу данных AD DS только для чтения

• Однонаправленная репликация

• Кэширование учетных данных

• Разделение ролей администратора

• Содержит систему доменных имен только для чтения (DNS)

Дополнительные сведения см. в разделе "Общие сведения о планировании и развертывании для контроллеров домена только для чтения".

Пользователи удаленного рабочего стола

Используйте группу "Пользователи удаленного рабочего стола" на сервере узла сеансов удаленных рабочих столов, чтобы предоставить пользователям и группам разрешения на удаленное подключение к серверу узла сеансов удаленных рабочих столов. Эту группу нельзя переименовать, удалить или удалить. Группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO).

Группа пользователей удаленного рабочего стола применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Пользователи удаленного управления

Члены группы пользователей удаленного управления могут получить доступ к ресурсам инструментария управления Windows (WMI) через протоколы управления, такие как WS-Management, через службу удаленного управления Windows. Доступ к ресурсам WMI применяется только к пространствам имен WMI, предоставляющим пользователю доступ.

Используйте группу "Пользователи удаленного управления", чтобы разрешить пользователям управлять серверами с помощью консоли диспетчер сервера. Используйте группу WinRMRemoteWMIUsers\_ для удаленного запуска команд Windows PowerShell.

Дополнительные сведения см. в разделе О WMI и новых возможностях в MI?.

Replicator

Компьютеры, которые являются членами группы репликатора, поддерживают репликацию файлов в домене. Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа, хранящихся в папке «Системный том» (папка sysvol). Каждый контроллер домена сохраняет копию папки sysvol для доступа к сетевым клиентам. FRS также может реплицировать данные для распределенной файловой системы (DFS) и синхронизировать содержимое каждого члена в наборе реплик, как определено DFS. FRS может копировать и поддерживать общие файлы и папки на нескольких серверах одновременно. При изменении содержимое синхронизируется сразу на сайтах и по расписанию между сайтами.

Дополнительные сведения см. в разделе:

• Служба репликации файлов (FRS) устарела в Windows Server 2008 R2 (Windows)
• Общие сведения о пространствах имен DFS и репликации DFS

Администраторы схемы

Члены группы администраторов схем могут изменять схему Active Directory. Эта группа существует только в корневом домене леса доменов Active Directory. Эта группа является универсальной группой, если домен находится в собственном режиме. Эта группа является глобальной группой, если домен находится в смешанном режиме.

Группа авторизована для внесения изменений схемы в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. Эта группа имеет полный административный доступ к схеме.

Любой из групп администраторов служб в корневом домене может изменить членство в этой группе. Эта группа считается учетной записью администратора службы, так как ее члены могут изменять схему, которая управляет структурой и содержимым всего каталога.

Дополнительные сведения см. в статье о схеме Active Directory?

Группа администраторов схем применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Операторы сервера

Члены группы операторов серверов могут администрировать контроллеры домена. Эта группа существует только на контроллерах домена. По умолчанию эта группа не имеет членов. Его нельзя переименовать, удалить или изъять. Члены группы Операторы сервера могут выполнять следующие действия:

• Интерактивный вход на сервер
• Создание и удаление общих сетевых ресурсов
• Остановка и запуск услуг
• Резервное копирование и восстановление файлов
• Форматирование жесткого диска устройства
• Выключите устройство

По умолчанию эта встроенная группа не имеет членов. Эта группа имеет доступ к параметрам конфигурации сервера на контроллерах домена. Его членство контролируется с помощью групп администраторов службы «Администраторы» и «Администраторы домена» в домене, а также группы «Администраторы предприятия» в корневом домене леса. Члены этой группы не могут изменять членства в административных группах. Эта группа считается учетной записью администратора службы, так как ее члены имеют физический доступ к контроллерам домена. Члены этой группы могут выполнять такие задачи обслуживания, как резервное копирование и восстановление, и они могут изменять двоичные файлы, установленные на контроллерах домена. См. права пользователя группы по умолчанию в следующей таблице.

Группа операторов сервера применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Администраторы реплики хранилища

Члены группы администраторов реплики хранилища имеют полный и неограниченный доступ ко всем функциям реплики хранилища. Группа администраторов реплик хранилища применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Системные управляемые учетные записи

Членство в группе «Системные управляемые счета» является управляемым системой.

Группа управляемых учетных записей системы применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Серверы лицензирования сервера терминалов

Члены группы серверов лицензирования терминального сервера могут обновлять учетные записи пользователей в Active Directory с информацией о выдаче лицензий. Группа используется для отслеживания использования TS на пользователя. Клиент TS на пользователя предоставляет одному пользователю право доступа к экземпляру сервера терминалов с неограниченного количества клиентских компьютеров или устройств. Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Дополнительные сведения об этой группе безопасности см. в разделе "Конфигурация группы безопасности сервера лицензирования служб терминалов".

Группа лицензионных серверов Терминального сервера применяется к ОС Windows Server в группах безопасности Active Directory, заданных по умолчанию.

Users

Члены группы "Пользователи" не могут вносить случайные или преднамеренные изменения на уровне системы. Члены этой группы могут запускать большинство приложений. После первоначальной установки ОС единственным членом является группа аутентифицированных пользователей. При присоединении компьютера к домену группа "Пользователи домена" добавляется в группу "Пользователи" на компьютере.

Пользователи могут выполнять такие задачи, как запуск приложения, использование локальных и сетевых принтеров, завершение работы компьютера и блокировка компьютера. Пользователи могут устанавливать приложения, которые могут использовать только в том случае, если программа установки приложения поддерживает установку на пользователя. Эту группу нельзя переименовать, удалить или удалить.

Группа "Пользователи" применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

Эта группа безопасности включает следующие изменения с Windows Server 2008:

• В Windows Server 2008 R2 в список участников по умолчанию добавлен интерактивный.

• В Windows Server 2012 элемент списка по умолчанию изменился с "Пользователи домена" на нет.

Доступ к авторизации Windows

Члены этой группы имеют доступ к вычисляемому атрибуту GroupsGlobalAndUniversal в объектах User. Некоторые приложения имеют функции, которые считывают атрибут token-groups-global-and-universal (TGGAU) для объектов учетной записи пользователя или на объектах учетной записи компьютера в AD DS. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые считывают этот атрибут или вызывают API (функцию), которое считывает этот атрибут, не будут успешны, если вызывающий контекст безопасности не имеет доступа к атрибуту. Эта группа отображается как идентификатор безопасности, пока контроллер домена не будет создан основным контроллером домена, и он содержит роль мастера операций (FSMO). Эту группу нельзя переименовать, удалить или удалить.

Группа доступа к авторизации Windows применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

WinRMRemoteWMIUsers_

В Windows Server 2012 и Windows 8 вкладка "Общий доступ " была добавлена в пользовательский интерфейс расширенных параметров безопасности. На этой вкладке отображаются свойства безопасности удаленного файлового ресурса. Чтобы просмотреть эти сведения, необходимо иметь следующие разрешения и членства в соответствии с версией Windows Server, на которую запущен файловый сервер.

Группа WinRMRemoteWMIUsers_ применяется к ОС Windows Server в группах безопасности Active Directory по умолчанию.

• Если общая папка размещена на сервере, на котором установлена поддерживаемая версия ОС:

  • Вы должны быть членом группы WinRMRemoteWMIUsers__ или группы BUILDIN\Administrators.

  • У вас должны быть разрешения на чтение для общей папки.

• Если общая папка размещена на сервере под управлением версии Windows Server, которая раньше Windows Server 2012:

  • Вы должны быть членом группы BUILDIN\Administrators.

  • У вас должны быть разрешения на чтение для общей папки.

В Windows Server 2012 функция "Помощь отказано в доступе" добавляет группу прошедших проверку подлинности пользователей в локальную группу WinRMRemoteWMIUsers__. Если включена функция помощи с отказом в доступе, все прошедшие проверку подлинности пользователи с разрешениями на чтение файлового ресурса могут просматривать разрешения общей папки.

Связанный контент

• Субъекты безопасности
• Специальные группы удостоверений
• Обзор управления доступом