Dela via

Bilaga B: Referensguide för privilegierade Active Directory-konton och grupper

Active Directory Domain Services innehåller flera inbyggda konton och grupper som beviljas utökade privilegier för att utföra administrativa uppgifter. Dessa privilegierade konton beviljas kraftfulla rättigheter, behörigheter och behörigheter som gör att de kan utföra nästan alla åtgärder i Active Directory och på domänanslutna system.

Den här bilagan innehåller viktig information om:

  • Rättigheter, behörigheter och behörigheter.
  • Högsta behörighetsgrupper.
  • Inbyggda konton och standardkonton.

Att förstå dessa privilegierade konton och grupper är avgörande för att implementera effektiva säkerhetskontroller och övervakningsstrategier. Informationen i den här bilagan utgör grunden för de specifika säkerhetsrekommendationer och implementeringsriktlinjer som ges i de tillhörande tilläggen.

Important

Kontona och grupperna som beskrivs i den här bilagan har omfattande behörigheter som kan påverka hela Active Directory-skogen. Korrekt säkerhet för dessa konton är avgörande för att upprätthålla integriteten i din katalogmiljö.

Rättigheter, behörigheter och behörigheter i Active Directory

Skillnaderna mellan rättigheter, behörigheter och behörigheter kan vara förvirrande. I det här avsnittet beskrivs några av egenskaperna för var och en när de används i det här dokumentet. Dessa beskrivningar bör inte betraktas som auktoritativa för annan Microsoft-dokumentation, eftersom de kan använda dessa termer på olika sätt.

Rättigheter och privilegier

Rättigheter och privilegier är i praktiken samma systemomfattande funktioner som beviljas säkerhetsobjekt som användare, tjänster, datorer eller grupper. I gränssnitt som vanligtvis används av IT-proffs kallas det för rättigheter eller användarrättigheter, och de tilldelas ofta av grupprincipobjekt. Följande skärmbild visar några av de vanligaste användarrättigheterna som kan tilldelas till säkerhetsobjekt (den representerar grupprincipobjektet för standarddomänkontrollanter i en Windows Server 2012-domän). Vissa av dessa rättigheter gäller för Active Directory, till exempel Aktivera att dator- och användarkonton ska vara betrodda för delegeringsanvändares rättigheter, medan andra rättigheter gäller för Windows-operativsystemet, till exempel Ändra systemtid.

privilegierade konton och grupper

I gränssnitt som redigeraren för grupprincipobjekt kallas alla dessa tilldelningsbara funktioner i stort sett användarrättigheter. I verkligheten kallas dock vissa användarrättigheter programmatiskt för rättigheter, medan andra programmatiskt kallas privilegier. Även om grupprincip och andra gränssnitt refererar till alla dessa som användarrättigheter, identifieras vissa programmatiskt som rättigheter, medan andra definieras som privilegier.

Mer information om var och en av användarrättigheterna som anges i följande tabell finns i Guiden hot och motåtgärder: Användarrättigheter i guiden Hot och sårbarhetsreducering för Windows Server

Note

I det här dokumentet används termerna rättigheter och användarrättigheter för att identifiera rättigheter och privilegier om inte annat anges.

Permissions

Behörigheter är åtkomstkontroller som tillämpas på skyddsbara objekt som filsystem, register, tjänst och Active Directory-objekt. Varje skyddsbart objekt har en associerad åtkomstkontrollista (ACL), som innehåller åtkomstkontrollposter (ACL) som beviljar eller nekar säkerhetsobjekt (användare, tjänster, datorer eller grupper) möjlighet att utföra olika åtgärder på objektet. ACL:er för många objekt i Active Directory innehåller till exempel ACL:er som tillåter autentiserade användare att läsa allmän information om objekten, men inte ger dem möjlighet att läsa känslig information eller ändra objekten. Förutom för varje domäns inbyggda gästkonto har varje säkerhetsobjekt som loggar in och autentiseras av en domänkontrollant i en Active Directory-skog eller en betrodd skog sid-värdet (Authenticated Users Security Identifier) tillagt till sin åtkomsttoken som standard. Läsåtgärden lyckas därför oavsett om ett användar-, tjänst- eller datorkonto försöker läsa allmänna egenskaper för användarobjekt i en domän.

Om ett säkerhetsobjekt försöker komma åt ett objekt som inga ACL:er har definierats för och som innehåller ett SID som finns i huvudnamnets åtkomsttoken, kan huvudkontot inte komma åt objektet. Om ett ACE i ett objekts ACL innehåller en neka-post för ett SID som matchar användarens åtkomsttoken åsidosätter nekande ACE vanligtvis en motstridig tillåten ACE. Mer information om åtkomstkontroll i Windows finns i Åtkomstkontroll på MSDN:s webbplats.

I det här dokumentet refererar behörigheter till funktioner som beviljas eller nekas till säkerhetsobjekt för skyddsbara objekt. När det uppstår en konflikt mellan en användarrättighet och en behörighet har användarrättigheten vanligtvis företräde. Om ett objekt i Active Directory till exempel har konfigurerats med en ACL som nekar administratörer all läs- och skrivåtkomst till ett objekt kan en användare som är medlem i domänens administratörsgrupp inte visa mycket information om objektet. Men eftersom gruppen Administratörer beviljas användarbehörigheten Ta ägarskap för filer eller andra objekt kan användaren helt enkelt ta ägarskapet för objektet i fråga och sedan skriva om objektets ACL för att ge administratörer fullständig kontroll över objektet.

Därför uppmuntrar det här dokumentet dig att undvika att använda kraftfulla konton och grupper för den dagliga administrationen i stället för att försöka begränsa funktionerna för konton och grupper. Det är inte effektivt möjligt att stoppa en bestämd användare som har åtkomst till kraftfulla autentiseringsuppgifter från att använda dessa autentiseringsuppgifter för att få åtkomst till alla skyddsbara resurser.

Inbyggda privilegierade konton och grupper

Active Directory är avsett att underlätta delegering av administration och principen om minsta behörighet vid tilldelning av rättigheter och behörigheter. Vanliga användare som har konton i en Active Directory-domän kan som standard läsa mycket av det som lagras i katalogen, men kan bara ändra en begränsad uppsättning data i katalogen. Användare som behöver extra behörighet kan beviljas medlemskap i olika privilegierade grupper som är inbyggda i katalogen så att de kan utföra specifika uppgifter relaterade till sina roller, men inte kan utföra uppgifter som inte är relevanta för deras uppgifter.

I Active Directory finns det tre inbyggda grupper som består av de högsta behörighetsgrupperna i katalogen, plus en fjärde grupp, gruppen Schemaadministratörer (SA):

Gruppen Schemaadministratörer (SA) har behörigheter som, om de missbrukas, kan skada eller förstöra en hel Active Directory-skog, men den här gruppen är mer begränsad i dess funktioner än EA-, DA- och BA-grupperna.

Utöver dessa fyra grupper finns det många extra inbyggda konton och standardkonton och grupper i Active Directory, som var och en beviljas rättigheter och behörigheter som gör att specifika administrativa uppgifter kan utföras. Även om den här bilagan inte ger en grundlig diskussion om alla inbyggda grupper eller standardgrupper i Active Directory, innehåller den en tabell med de grupper och konton som du troligtvis kommer att se i dina installationer.

Om du till exempel installerar Microsoft Exchange Server i en Active Directory-skog kan extra konton och grupper skapas i containrarna Inbyggd och Användare i dina domäner. I den här bilagan beskrivs endast de grupper och konton som skapas i de inbyggda containrarna och användarna i Active Directory, baserat på interna roller och funktioner. Konton och grupper som skapas av installationen av företagsprogramvara ingår inte.

Enterprise Admins

Gruppen Företagsadministratörer (EA) finns i skogens rotdomän, och som standard är den medlem i den inbyggda gruppen Administratörer i varje domän i skogen. Det inbyggda administratörskontot i skogens rotdomän är den enda standardmedlemmen i EA-gruppen. Certifikatutfärdare beviljas rättigheter och behörigheter som gör att de kan påverka ändringar i hela skogen. Det här är ändringar som påverkar alla domäner i skogen, till exempel att lägga till eller ta bort domäner, upprätta skogsförtroenden eller höja skogens funktionsnivåer. I en korrekt utformad och implementerad delegeringsmodell krävs EA-medlemskap endast när du först skapar skogen eller när du gör vissa ändringar i hela skogen, till exempel att upprätta ett utgående skogsförtroende.

EA-gruppen finns som standard i containern Användare i skogens rotdomän och är en universell säkerhetsgrupp, såvida inte skogsrotsdomänen körs i blandat läge för Windows 2000 Server, i vilket fall gruppen är en global säkerhetsgrupp. Även om vissa rättigheter beviljas direkt till EA-gruppen ärvs många av den här gruppens rättigheter av EA-gruppen eftersom den är medlem i gruppen Administratörer i varje domän i skogen. Företagsadministratörer har inga standardrättigheter för arbetsstationer eller medlemsservrar.

Domain Admins

Varje domän i en skog har en egen domänadministratörsgrupp (DA), som är medlem i domänens inbyggda administratörsgrupp (BA) utöver en medlem i den lokala gruppen Administratörer på varje dator som är ansluten till domänen. Den enda standardmedlemmen i DA-gruppen för en domän är det inbyggda administratörskontot för den domänen.

Domänadministratörer är allsmäktiga inom sina områden, medan företagsadministratörer har behörighet som omfattar hela skogen. I en korrekt utformad och implementerad delegeringsmodell bör DA-medlemskap endast krävas i break glass-scenarier , vilket är situationer där ett konto med höga behörighetsnivåer på varje dator i domänen behövs, eller när vissa domänomfattande ändringar måste göras. Även om inbyggda Active Directory-delegeringsmekanismer tillåter delegering i den utsträckning det är möjligt att endast använda DA-konton i nödsituationsscenarier, kan det vara tidskrävande att skapa en effektiv delegeringsmodell, och många organisationer använder program från tredje part för att påskynda processen.

DA-gruppen är en global säkerhetsgrupp som finns i containern Användare för domänen. Det finns en DA-grupp för varje domän i skogen och den enda standardmedlemmen i en DA-grupp är domänens inbyggda administratörskonto. Eftersom en domäns DA-grupp är kapslad i domänens BA-grupp och varje domänansluten system lokala administratörsgrupp har domänadministratörer inte bara behörigheter som beviljas domänadministratörer, utan de ärver också alla rättigheter och behörigheter som beviljats domänens administratörsgrupp och den lokala gruppen Administratörer på alla system som är anslutna till domänen.

Administrators

Den inbyggda gruppen Administratörer (BA) är en domänlokal grupp i en domäns inbyggda container där certifikatutfärdare och certifikatutfärdare är kapslade, och det är den här gruppen som beviljas många av de direkta rättigheterna och behörigheterna i katalogen och på domänkontrollanter. Gruppen Administratörer för en domän har dock inga behörigheter på medlemsservrar eller på arbetsstationer. Medlemskap i domänanslutna datorers lokala administratörsgrupp är den plats där lokal behörighet beviljas. och av de grupper som diskuteras är endast DA:er medlemmar i alla domänanslutna datorers lokala administratörsgrupper som standard.

Gruppen Administratörer är en domänlokal grupp i domänens inbyggda container. Som standard innehåller varje domäns BA-grupp den lokala domänens inbyggda administratörskonto, den lokala domänens DA-grupp och skogsrotdomänens EA-grupp. Många användarrättigheter i Active Directory och på domänkontroller beviljas specifikt till gruppen Administratörer, inte till EAs eller DAs. En domäns BA-grupp beviljas fullständig behörighet för de flesta katalogobjekt och kan ta över ägarskapet för katalogobjekt. Även om EA- och DA-grupper beviljas vissa objektspecifika behörigheter i skogen och domänerna ärvs en stor del av kraften hos grupper från deras medlemskap i BA-grupper.

Note

Även om det här är standardkonfigurationerna för dessa privilegierade grupper kan en medlem i någon av de tre grupperna ändra katalogen för att få medlemskap i någon av de andra grupperna. I vissa fall är det trivialt att uppnå, medan det i andra är svårare, men ur ett potentiellt privilegiumsperspektiv bör alla tre grupperna betraktas som effektivt likvärdiga.

Schema Admins

Gruppen Schema Admins (SA) är en universell grupp i forestens rotdomän och har som standardmedlemmar endast det inbyggda administratörskontot i den domänen, liksom EA-gruppen. Även om medlemskap i SA-gruppen kan tillåta att en angripare komprometterar Active Directory-schemat, som är ramverket för hela Active Directory-skogen, har SA:er få standardrättigheter och behörigheter utöver schemat.

Du bör noggrant hantera och övervaka medlemskap i SA-gruppen, men i vissa avseenden är den här gruppen mindre privilegierad än de tre högsta privilegierade grupperna som beskrevs tidigare eftersom dess behörighetsområde är smalt. SA:er har alltså inga administrativa rättigheter någon annanstans än schemat.

Ytterligare inbyggda grupper och standardgrupper i Active Directory

För att underlätta delegering av administration i katalogen levereras Active Directory med olika inbyggda och standardgrupper som har beviljats specifika rättigheter och behörigheter. Dessa grupper beskrivs kortfattat i följande tabell.

I följande avsnitt visas de inbyggda och standardgrupperna i Active Directory. Båda grupperna finns som standard. Inbyggda grupper finns dock (som standard) i den inbyggda containern i Active Directory, medan standardgrupper finns (som standard) i containern Användare i Active Directory. Grupper i den inbyggda containern är alla lokala domängrupper, medan grupper i containern Användare är en blandning av domänlokala, globala och universella grupper, förutom tre enskilda användarkonton (administratör, gäst och Krbtgt).

Förutom de högsta privilegierade grupperna som beskrivs tidigare i den här bilagan beviljas vissa inbyggda konton och standardkonton och -grupper utökade privilegier och bör också skyddas och endast användas på säkra administrativa värdar. Eftersom vissa av dessa grupper och konton beviljas rättigheter och behörigheter som kan missbrukas för att kompromettera Active Directory eller domänkontrollanter får de fler skydd enligt beskrivningen i bilaga C: Skyddade konton och grupper i Active Directory.

Hjälpoperatorer för åtkomstkontroll

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan fjärrfråga auktoriseringsattribut och behörigheter för resurser på den här datorn.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Meddelanden: Active Directory i Windows Server 2012 och senare.

Account Operators

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar kan administrera domänanvändare och gruppkonton.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Administrator account

  • Standardcontainer, gruppomfång och typ: Användarcontainer, inte en grupp
  • Beskrivning och standardanvändarrättigheter: Inbyggt konto för att administrera domänen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Justera minneskvoter för en process
    • Tillåt lokal inloggning
    • Tillåt inloggning genom Fjärrskrivbordstjänster
    • Säkerhetskopiera filer och kataloger
    • Kringgå bläddringskontroll
    • Ändra datorns tid
    • Ändra tidszon
    • Skapa en växlingsfil
    • Skapa globala objekt
    • Skapa symboliska länkar
    • Debug programs
    • Gör dator- och användarkonton betrodda för delegering
    • Tvångsavsluta från ett fjärrsystem
    • Personifiera en klient efter autentisering
    • Öka en process arbetsmängd
    • Öka schemaläggning prioritet
    • Läsa in och ta bort drivrutiner
    • Logga in för ett batchjobb
    • Hantera granskning- och säkerhetsloggar
    • Ändra maskinvarumiljö
    • Utföra volymunderhållsuppgifter
    • Profilera enskild process
    • Profilera systemprestanda
    • Ta bort datorn från dockningsstation
    • Återställa filer och kataloger
    • Stänga av systemet
    • Bli ägare till filer eller andra objekt

Administrators group

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Administratörer har fullständig och obegränsad åtkomst till domänen.
  • Direkta användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Justera minneskvoter för en process
    • Tillåt lokal inloggning
    • Tillåt inloggning genom Fjärrskrivbordstjänster
    • Säkerhetskopiera filer och kataloger
    • Kringgå bläddringskontroll
    • Ändra datorns tid
    • Ändra tidszon
    • Skapa en växlingsfil
    • Skapa globala objekt
    • Skapa symboliska länkar
    • Debug programs
    • Gör dator- och användarkonton betrodda för delegering
    • Tvångsavsluta från ett fjärrsystem
    • Personifiera en klient efter autentisering
    • Öka schemaläggning prioritet
    • Läsa in och ta bort drivrutiner
    • Logga in för ett batchjobb
    • Hantera granskning- och säkerhetsloggar
    • Ändra maskinvarumiljö
    • Utföra volymunderhållsuppgifter
    • Profilera enskild process
    • Profilera systemprestanda
    • Ta bort datorn från dockningsstation
    • Återställa filer och kataloger
    • Stänga av systemet
    • Bli ägare till filer eller andra objekt
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Tillåten RODC-lösenordsreplikeringsgrupp

  • Standardcontainer, gruppomfång och typ: Användarcontainer, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan få sina lösenord replikerade till alla skrivskyddade domänkontrollanter i domänen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Backup Operators

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Säkerhetskopieringsoperatörer kan åsidosätta säkerhetsbegränsningar enbart i syfte att säkerhetskopiera eller återställa filer.
  • Direkta användarrättigheter:
    • Tillåt lokal inloggning
    • Säkerhetskopiera filer och kataloger
    • Logga in för ett batchjobb
    • Återställa filer och kataloger
    • Stänga av systemet
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Cert Publishers

  • Standardcontainer, gruppomfång och typ: Användarcontainer, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen får publicera certifikat till katalogen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

DCOM-åtkomst för certifikattjänsten

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Om Certificate Services är installerat på en domänkontrollant (rekommenderas inte) ger den här gruppen DCOM-registrering åtkomst till domänanvändare och domändatorer.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Klonbara domänkontrollanter

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen som är domänkontrollanter kan klonas.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Meddelanden: Active Directory i Windows Server 2012 och senare.

Cryptographic Operators

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar har behörighet att utföra kryptografiska åtgärder.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Debugger Users

  • Standardcontainer, gruppomfång och typ: Detta är varken en standardgrupp eller en inbyggd grupp, men när den finns i AD DS är det anledning till ytterligare undersökning.
  • Beskrivning och standardanvändarrättigheter: Förekomsten av en användargrupp för felsökningsprogram anger att felsökningsverktyg har installerats på systemet någon gång, oavsett om det är via Visual Studio, SQL, Office eller andra program som kräver och stöder en felsökningsmiljö. Den här gruppen tillåter fjärrfelsökning till datorer. När den här gruppen finns på domännivå anger den att ett felsökningsprogram eller ett program som innehåller ett felsökningsprogram har installerats på en domänkontrollant.

Nekad RODC-lösenordsreplikeringsgrupp

  • Standardcontainer, gruppomfång och typ: Användarcontainer, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan inte få sina lösenord replikerade till skrivskyddade domänkontrollanter i domänen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

DHCP Administrators

  • Standardcontainer, gruppomfång och typ: Användarcontainer, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen har administrativ åtkomst till DHCP Server-tjänsten.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

DHCP Users

  • Standardcontainer, gruppomfång och typ: Användarcontainer, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen har endast visningsåtkomst till DHCP Server-tjänsten.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Distribuerade COM-användare

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan starta, aktivera och använda distribuerade COM-objekt på den här datorn.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

DnsAdmins

  • Standardcontainer, gruppomfång och typ: Användarcontainer, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen har administrativ åtkomst till DNS Server-tjänsten.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

DnsUpdateProxy

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen är DNS-klienter som har behörighet att utföra dynamiska uppdateringar för klienter som inte själva kan utföra dynamiska uppdateringar. Medlemmar i den här gruppen är vanligtvis DHCP-servrar.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Domain Admins

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Utsedda administratörer för domänen; Domänadministratörer är medlem i varje domänansluten dators lokala administratörsgrupp och får rättigheter och behörigheter som beviljats den lokala gruppen Administratörer, utöver domänens administratörsgrupp.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Justera minneskvoter för en process
    • Tillåt lokal inloggning
    • Tillåt inloggning genom Fjärrskrivbordstjänster
    • Säkerhetskopiera filer och kataloger
    • Kringgå bläddringskontroll
    • Ändra datorns tid
    • Ändra tidszon
    • Skapa en växlingsfil
    • Skapa globala objekt
    • Skapa symboliska länkar
    • Debug programs
    • Gör dator- och användarkonton betrodda för delegering
    • Tvångsavsluta från ett fjärrsystem
    • Personifiera en klient efter autentisering
    • Öka en process arbetsmängd
    • Öka schemaläggning prioritet
    • Läsa in och ta bort drivrutiner
    • Logga in för ett batchjobb
    • Hantera granskning- och säkerhetsloggar
    • Ändra maskinvarumiljö
    • Utföra volymunderhållsuppgifter
    • Profilera enskild process
    • Profilera systemprestanda
    • Ta bort datorn från dockningsstation
    • Återställa filer och kataloger
    • Stänga av systemet
    • Bli ägare till filer eller andra objekt

Domain Computers

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Alla arbetsstationer och servrar som är anslutna till domänen är som standard medlemmar i den här gruppen.
  • Standardrättigheter för direktanvändare: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Domain Controllers

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Alla domänkontrollanter i domänen. Obs! Domänkontrollanter är inte medlemmar i gruppen Domändatorer.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Domain Guests

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Alla gäster i domänen
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Domain Users

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Alla användare i domänen
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Enterprise Admins

  • Standardcontainer, gruppomfång och typ: Användarcontainer, universell säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Företagsadministratörer har behörighet att ändra konfigurationsinställningar för hela skogen. Företagsadministratörer är medlem i varje domäns administratörsgrupp och får rättigheter och behörigheter som beviljats gruppen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Justera minneskvoter för en process
    • Tillåt lokal inloggning
    • Tillåt inloggning genom Fjärrskrivbordstjänster
    • Säkerhetskopiera filer och kataloger
    • Kringgå bläddringskontroll
    • Ändra datorns tid
    • Ändra tidszon
    • Skapa en växlingsfil
    • Skapa globala objekt
    • Skapa symboliska länkar
    • Debug programs
    • Gör dator- och användarkonton betrodda för delegering
    • Tvångsavsluta från ett fjärrsystem
    • Personifiera en klient efter autentisering
    • Öka en process arbetsmängd
    • Öka schemaläggning prioritet
    • Läsa in och ta bort drivrutiner
    • Logga in för ett batchjobb
    • Hantera granskning- och säkerhetsloggar
    • Ändra maskinvarumiljö
    • Utföra volymunderhållsuppgifter
    • Profilera enskild process
    • Profilera systemprestanda
    • Ta bort datorn från dockningsstation
    • Återställa filer och kataloger
    • Stänga av systemet
    • Bli ägare till filer eller andra objekt
  • Anmärkningar: finns bara i skogsrotdomänen.

Skrivskyddade domänkontrollanter för företag

  • Standardcontainer, gruppomfång och typ: Användarcontainer, universell säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Den här gruppen innehåller konton för alla skrivskyddade domänkontrollanter i skogen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Läsare av händelseloggar

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen i kan läsa händelseloggarna på domänkontrollanter.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Ägare av gruppolicyskapare

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan skapa och ändra grupprincipobjekt i domänen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Guest

  • Standardcontainer, gruppomfång och typ: Användarcontainer, inte en grupp
  • Beskrivning och standardanvändarrättigheter: Det här är det enda kontot i en AD DS-domän som inte har sid för autentiserade användare tillagt i sin åtkomsttoken. Därför är alla resurser som har konfigurerats för att bevilja åtkomst till gruppen Autentiserade användare inte tillgängliga för det här kontot. Detta beteende förekommer inte hos medlemmar i grupperna Domängäster och Gäster; dock har medlemmarna i dessa grupper SID för autentiserade användare tillagt i sina åtkomsttokens.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Guests

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Gäster har samma åtkomst som medlemmar i gruppen Användare som standard, förutom gästkontot, som är ytterligare begränsat enligt beskrivningen tidigare.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Hyper-V Administrators

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen har fullständig och obegränsad åtkomst till alla funktioner i Hyper-V.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Anteckningar: Windows Server 2012 och senare.

IIS_IUSRS

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Inbyggd grupp som används av Internet Information Services.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Inkommande forest trust builders

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan skapa inkommande enkelriktade förtroenden för den här skogen. (Skapande av utgående skogsförtroenden är reserverat för företagsadministratörer.) Medlemmar i den här gruppen kan skapa inkommande förtroenden som tillåter TGT-delegering, vilket kan leda till att skogen komprometteras. För att lära dig mer om TGT-delegering över inkommande förtroenden, se Uppdateringar av TGT-delegering över inkommande förtroenden i Windows Server.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Anmärkningar: finns bara i skogsrotdomänen.

Krbtgt

  • Standardcontainer, gruppomfång och typ: Användarcontainer, inte en grupp
  • Beskrivning och standardanvändarrättigheter: Krbtgt-kontot är tjänstkontot för Kerberos Key Distribution Center i domänen. Det här kontot har åtkomst till alla kontons autentiseringsuppgifter som lagras i Active Directory. Det här kontot är inaktiverat som standard och bör aldrig aktiveras
  • Användarens rättigheter: N/A

Nätverkskonfigurationsoperatorer

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen beviljas behörigheter som gör att de kan hantera konfigurationen av nätverksfunktioner.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Användare av prestandaloggar

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan schemalägga loggning av prestandaräknare, aktivera spårningsproviders och samla in händelsespårningar lokalt och via fjärråtkomst till datorn.
  • Direkta användarrättigheter:
    • Logga in för ett batchjobb
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Användare av prestandaövervakare

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan komma åt prestandaräknardata lokalt och via fjärranslutning.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Pre-Windows 2000-kompatibel åtkomst

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Den här gruppen finns för bakåtkompatibilitet med operativsystem före Windows 2000 Server och ger medlemmar möjlighet att läsa användar- och gruppinformation i domänen.
  • Direkta användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Kringgå bläddringskontroll
  • Ärvda användarrättigheter:
    • Lägga till arbetsstationer i domänen
    • Öka en process arbetsmängd
  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan administrera domänskrivare.
  • Direkta användarrättigheter:
    • Tillåt lokal inloggning
    • Läsa in och ta bort drivrutiner
    • Stänga av systemet
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

RAS- och IAS-servrar

  • Standardcontainer, gruppomfång och typ: Användarcontainer, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Servrar i den här gruppen kan läsa fjärråtkomstegenskaper på användarkonton i domänen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

RDS-slutpunktsservrar

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Servrar i den här gruppen kör virtuella datorer och värdsessioner där användare fjärrappprogram och personliga virtuella skrivbord körs. Den här gruppen måste fyllas i på servrar som kör RD-anslutningsmäklare. Värdservrar för fjärrskrivbordssessioner och värdservrar för fjärrskrivbordsvirtualisering som används i distributionen måste finnas i den här gruppen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Anteckningar: Windows Server 2012 och senare.

RDS-hanteringsservrar

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Servrar i den här gruppen kan utföra rutinmässiga administrativa åtgärder på servrar som kör Fjärrskrivbordstjänster. Den här gruppen måste fyllas i på alla servrar i en distribution av fjärrskrivbordstjänster. Servrarna som kör RDS Central Management-tjänsten måste ingå i den här gruppen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Anteckningar: Windows Server 2012 och senare.

RDS fjärråtkomstservrar

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Servrar i den här gruppen ger användare av RemoteApp-program och personliga virtuella skrivbord åtkomst till dessa resurser. I Internetuppkopplade distributioner distribueras dessa servrar vanligtvis i ett gränsnätverk. Den här gruppen måste fyllas i på servrar som kör RD-anslutningsmäklare. RD Gateway-servrar och RD Web Access-servrar som används i distributionen måste finnas i den här gruppen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Anteckningar: Windows Server 2012 och senare.

Skrivskyddade domänkontrollanter

  • Standardcontainer, gruppomfång och typ: Container för användare, global säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Den här gruppen innehåller alla skrivskyddade domänkontrollanter i domänen.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Fjärrskrivbordsanvändare

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen beviljas behörighet att logga in via fjärranslutning med RDP.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Fjärrhanteringsanvändare

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan komma åt WMI-resurser via hanteringsprotokoll (till exempel WS-Management via Windows Remote Management-tjänsten). Detta gäller endast för WMI-namnområden som ger åtkomst till användaren.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Anteckningar: Windows Server 2012 och senare.

Replicator

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Stöder äldre filreplikering i en domän.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Schema Admins

  • Standardcontainer, gruppomfång och typ: Användarcontainer, universell säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Schemaadministratörer är de enda användare som kan göra ändringar i Active Directory-schemat och endast om schemat är skrivaktiverat.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Anmärkningar: finns bara i skogsrotdomänen.

Server Operators

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan administrera domänkontrollanter.
  • Direkta användarrättigheter:
    • Tillåt lokal inloggning
    • Säkerhetskopiera filer och kataloger
    • Ändra datorns tid
    • Ändra tidszon
    • Tvångsavsluta från ett fjärrsystem
    • Återställa filer och kataloger
    • Stänga av systemet
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Licensservrar för Terminal Server

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan uppdatera användarkonton i Active Directory med information om licensutfärdning i syfte att spåra och rapportera TS per användares CAL-användning
  • Standardrättigheter för direktanvändare: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

Users

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Användare har behörigheter som gör att de kan läsa många objekt och attribut i Active Directory, även om de inte kan ändra de flesta. Användare hindras från att göra oavsiktliga eller avsiktliga systemomfattande ändringar och kan köra de flesta program.
  • Direkta användarrättigheter:
    • Öka en process arbetsmängd
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll

Åtkomstgrupp för Windows-auktorisering

  • Standardcontainer, gruppomfång och typ: Inbyggd container, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen har åtkomst till attributet computed tokenGroupsGlobalAndUniversal på användarobjekt
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd

WinRMRemoteWMIUsers_

  • Standardcontainer, gruppomfång och typ: Användarcontainer, domänlokal säkerhetsgrupp
  • Beskrivning och standardanvändarrättigheter: Medlemmar i den här gruppen kan komma åt WMI-resurser via hanteringsprotokoll (till exempel WS-Management via Windows Remote Management-tjänsten). Detta gäller endast för WMI-namnområden som ger åtkomst till användaren.
  • Direkta användarrättigheter: Ingen
  • Ärvda användarrättigheter:
    • Få åtkomst till den här datorn från nätverket
    • Lägga till arbetsstationer i domänen
    • Kringgå bläddringskontroll
    • Öka en process arbetsmängd
  • Anteckningar: Windows Server 2012 och senare.