Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs standardfunktioner för Active Directory-säkerhetsgrupper, gruppomfång och gruppfunktioner.
Vad är en säkerhetsgrupp i Active Directory?
Active Directory har två former av vanliga säkerhetsobjekt: användarkonton och datorkonton. Dessa konton representerar en fysisk entitet som antingen är en person eller en dator. Ett användarkonto kan också användas som ett dedikerat tjänstkonto för vissa program.
Säkerhetsgrupper är ett sätt att samla in användarkonton, datorkonton och andra grupper i hanterbara enheter.
I operativsystemet Windows Server (OS) är ett flertal inbyggda konton och säkerhetsgrupper förkonfigurerade med rättigheter och behörigheter för att utföra specifika uppgifter. I Active Directory delas administrativa ansvarsområden upp i två typer av administratörer:
- Tjänstadministratörer: Ansvarar för att underhålla och leverera Active Directory Domain Services (AD DS), inklusive att hantera domänkontrollanter och konfigurera AD DS
- Dataadministratörer: Ansvarar för att underhålla data som lagras i AD DS och på domänmedlemsservrar och arbetsstationer
Så här fungerar Active Directory-säkerhetsgrupper
Du kan använda grupper för att samla in användarkonton, datorkonton och andra grupper i hanterbara enheter. Genom att arbeta med grupper i stället för med enskilda användare kan du förenkla nätverksunderhåll och administration.
Active Directory har två typer av grupper:
- Säkerhetsgrupper: Används för att tilldela behörigheter till delade resurser.
- Distributionsgrupper: Används för att skapa e-postdistributionslistor.
Säkerhetsgrupper
Säkerhetsgrupper kan ge ett effektivt sätt att tilldela åtkomst till resurser i nätverket. Genom att använda säkerhetsgrupper kan du:
Tilldela användarrättigheter till säkerhetsgrupper i Active Directory.
Du kan tilldela användarrättigheter till en säkerhetsgrupp för att avgöra vad medlemmar i gruppen kan göra inom omfånget för en domän eller skog. Användarrättigheter tilldelas automatiskt till vissa säkerhetsgrupper när Active Directory installeras för att hjälpa administratörer att definiera en persons administrativa roll i domänen.
En användare som du lägger till i gruppen Säkerhetskopieringsoperatörer i Active Directory kan till exempel säkerhetskopiera och återställa filer och kataloger som finns på varje domänkontrollant i domänen. Användaren kan utföra dessa åtgärder eftersom som standard användarrättigheter Säkerhetskopieringsfiler och kataloger samt Återställningsfiler och kataloger tilldelas automatiskt till gruppen Säkerhetskopieringsoperatörer. Därför ärver medlemmar i den här gruppen de användarrättigheter som har tilldelats till den gruppen.
Du kan använda grupprincip för att tilldela användarrättigheter till säkerhetsgrupper för att delegera specifika uppgifter. Mer information om hur du använder grupprincip finns i Tilldelning av användarrättigheter.
Tilldela behörigheter till säkerhetsgrupper för resurser.
Behörigheter skiljer sig från användarrättigheter. Behörigheter tilldelas till en säkerhetsgrupp för en delad resurs. Behörigheter avgör vem som kan komma åt resursen och åtkomstnivån, till exempel Fullständig kontroll eller Läs. Vissa behörigheter som anges för domänobjekt tilldelas automatiskt för att tillåta olika åtkomstnivåer till standardsäkerhetsgrupper som gruppen Kontooperatörer eller gruppen Domänadministratörer.
Säkerhetsgrupper listas i diskretionära åtkomstkontrollistor (DACLs) som definierar behörigheter för resurser och objekt. När administratörer tilldelar behörigheter för resurser som filresurser eller skrivare bör de tilldela dessa behörigheter till en säkerhetsgrupp i stället för till enskilda användare. Behörigheterna tilldelas en gång till gruppen i stället för flera gånger till varje enskild användare. Varje konto som läggs till i en grupp får de rättigheter som har tilldelats gruppen i Active Directory. Användaren får behörigheter som har definierats för den gruppen.
Du kan använda en säkerhetsgrupp som en e-postentitet. Om du skickar ett e-postmeddelande till en säkerhetsgrupp skickas meddelandet till alla medlemmar i gruppen.
Distributionsgrupper
Du kan bara använda distributionsgrupper för att skicka e-post till samlingar med användare med hjälp av ett e-postprogram som Exchange Server. Distributionsgrupper är inte säkerhetsaktiverade, så du kan inte inkludera dem i DACLs.
Gruppomfång
Varje grupp har ett omfång som identifierar i vilken utsträckning gruppen tillämpas i domänträdet eller skogen. Omfånget för en grupp definierar de områden i nätverket där behörigheter kan beviljas för gruppen. Active Directory definierar följande tre gruppomfattningar:
- Universal
- Global
- Lokal domän
Note
Förutom dessa tre omfång har standardgrupperna i den inbyggda containern ett gruppomfång för Inbyggd Lokal. Det går inte att ändra gruppomfattningen och grupptypen.
I följande tabell beskrivs de tre gruppomfattningarna och hur de fungerar som säkerhetsgrupper:
| Scope | Möjliga medlemmar | Omfattningskonvertering | Kan bevilja behörigheter | Möjlig medlem i |
|---|---|---|---|---|
| Universal | Konton från samtliga domäner inom samma skogsmiljö Globala grupper från alla domäner i samma skog Andra universella grupper från alla domäner i samma skog |
Kan konverteras till domänlokalt omfång om gruppen inte är medlem i någon annan universell grupp Kan konverteras till globalt omfång om gruppen inte innehåller någon annan universell grupp |
På vilken domän som helst inom samma domänskog eller betrodda domänskogar | Andra universella grupper i samma skog Domänlokala grupper i samma skog eller betrodda skogar Lokala grupper på datorer i samma skog eller betrodda skogar |
| Global | Konton från samma domän Andra globala grupper från samma domän |
Kan konverteras till universellt omfång om gruppen inte är medlem i någon annan global grupp | På alla domäner i samma skog eller betrodda domäner eller skogar | Universella grupper från alla domäner i samma skog Andra globala grupper från samma domän Domänlokala grupper från valfri domän i samma skog eller från någon betrodd domän |
| Lokal domän | Konton från valfri domän eller någon betrodd domän Globala grupper från valfri domän eller någon betrodd domän Universella grupper från alla domäner i samma skog Andra lokala domängrupper från samma domän Konton, globala grupper och universella grupper från andra skogar och från externa domäner |
Kan konverteras till universellt omfång om gruppen inte innehåller någon annan lokal domängrupp | Inom samma domän | Andra lokala domängrupper från samma domän Lokala grupper på datorer i samma domän, exklusive inbyggda grupper som har välkända säkerhetsidentifierare (SID) |
Särskilda identitetsgrupper
En särskild identitetsgrupp är där vissa särskilda identiteter grupperas tillsammans. Särskilda identitetsgrupper har inte specifika medlemskap som du kan ändra, men de kan representera olika användare vid olika tidpunkter beroende på omständigheterna. Dessa grupper är Skaparägare, Batch och Autentiserad användare.
Mer information finns i Särskilda identitetsgrupper.
Standardsäkerhetsgrupper
Standardgrupper som gruppen Domänadministratörer är säkerhetsgrupper som skapas automatiskt när du skapar en Active Directory-domän. Dessa fördefinierade grupper kan hjälpa dig att styra åtkomsten till delade resurser och delegera specifika domänomfattande administrativa roller.
Många standardgrupper tilldelas automatiskt en uppsättning användarrättigheter. Dessa rättigheter ger medlemmar i gruppen behörighet att utföra specifika åtgärder i en domän, till exempel att logga in på ett lokalt system eller säkerhetskopiera filer och mappar. En medlem i gruppen Säkerhetskopieringsoperatörer kan till exempel utföra säkerhetskopieringsåtgärder för alla domänkontrollanter i domänen.
När du lägger till en användare i en grupp får användaren alla användarrättigheter som har tilldelats gruppen, inklusive alla behörigheter som har tilldelats gruppen för delade resurser.
Standardgrupper finns i den inbyggda containern eller containern Användare i verktyget Active Directory-användare och datorer. Den inbyggda containern innehåller grupper som har definierats med det lokala domänomfånget. Containern Användare innehåller grupper som definieras med globalt omfång och grupper som definieras med domänlokalt omfång. Du kan flytta grupper som finns i dessa containrar till andra grupper eller organisationsenheter inom domänen. Men du kan inte flytta dem till andra domäner.
Några av de administrativa grupper som anges i den här artikeln och alla medlemmar i dessa grupper skyddas av en bakgrundsprocess som regelbundet söker efter och tillämpar en specifik säkerhetsbeskrivning. Den här beskrivningen är en datastruktur som innehåller säkerhetsinformation som är associerad med ett skyddat objekt. Den här processen säkerställer att alla obehöriga försök att ändra säkerhetsbeskrivningen på ett av de administrativa kontona eller grupperna skrivs över med de skyddade inställningarna.
Säkerhetsbeskrivningen finns i adminSDHolder-objektet. Om du vill ändra behörigheterna för någon av tjänstadministratörsgrupperna eller på något av dess medlemskonton måste du ändra säkerhetsbeskrivningen för AdminSDHolder-objektet så att det tillämpas konsekvent. Var försiktig när du gör dessa ändringar eftersom du också ändrar standardinställningarna som tillämpas på alla dina skyddade administrativa konton.
Varje standardsäkerhetsgrupp har en unik identifierare som består av flera komponenter. Bland dessa komponenter finns ett relativt ID (RID), som är unikt inom gruppens domän.
Active Directory-standardsäkerhetsgrupper
Följande länkar leder till beskrivningar av de standardgrupper som finns i den inbyggda containern eller containern Användare i Active Directory.
- Hjälpoperatorer för åtkomstkontroll
- Kontooperatorer
- Administrators
- Tillåten RODC-lösenordsreplikering
- Säkerhetskopieringsoperatorer
- DCOM-åtkomst för certifikattjänsten
- Cert Publishers
- Klonbara domänkontrollanter
- Kryptografiska operatorer
- Avslagen RODC-lösenordsreplikerings
- Enhetsägare
- DHCP-administratörer
- DHCP-användare
- Distribuerade COM-användare
- DnsUpdateProxy
- DnsAdmins
- Domänadministratörer
- Domändatorer
- Domänkontrollanter
- Domängäster
- Domänanvändare
- Företagsadministratörer
- Företagsnyckeladministratörer
- Skrivskyddade domänkontrollanter för företag
- Läsare av händelseloggar
- Ägare av grupprincipskapare
- Guests
- Hyper-V administratörer
- IIS_IUSRS
- Inkommande Skogsförtroendebyggare
- Nyckeladministratörer
- Nätverkskonfigurationsoperatorer
- Prestandalogganvändare
- Användare av prestandaövervakare
- Pre-Windows 2000-kompatibel åtkomst
- Utskriftsoperatorer
- Skyddade användare
- RAS- och IAS-servrar
- RDS-slutpunktsservrar
- RDS-hanteringsservrar
- Fjärråtkomstservrar (RDS)
- skrivskyddade domänkontrollanter
- Fjärrskrivbordsanvändare
- Fjärrhanteringsanvändare
- Replicator
- Schemaadministratörer
- Serveroperatörer
- Storage Replica-administratörer
- Systemhanterade konton
- Licensservrar för Terminal Server
- Users
- Windows-auktoriseringsåtkomst
- WinRMRemoteWMIUsers__
Hjälpoperatorer för åtkomstkontroll
Medlemmar i den här gruppen kan fjärrfråga auktoriseringsattribut och behörigheter för resurser på datorn. Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-579 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Kontoansvariga
Gruppen Kontooperatörer ger en användare begränsad behörighet att skapa konton. Medlemmar i den här gruppen kan skapa och ändra de flesta typer av konton, inklusive konton för användare, lokala grupper och globala grupper. Gruppmedlemmar kan logga in lokalt på domänkontrollanter.
Medlemmar i gruppen Kontooperatörer kan inte ändra användarrättigheter. Medlemmar i den här gruppen kan inte heller hantera följande konton och grupper:
- Administratörsanvändarkonto
- Användarkonton för administratörer
- Administrators
- Serveroperatörer
- Kontooperatorer
- Säkerhetskopieringsoperatorer
- Utskriftsoperatorer
Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-548 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | Tillåt inloggning lokalt: SeInteractiveLogonRight |
Administrators
Medlemmar i gruppen Administratörer har fullständig och obegränsad åtkomst till datorn. Om datorn befordras till en domänkontrollant har medlemmar i gruppen Administratörer obegränsad åtkomst till domänen.
Note
Gruppen Administratörer har inbyggda funktioner som ger medlemmarna fullständig kontroll över systemet. Den här gruppen kan inte ändras, raderas eller tas bort. Den här inbyggda gruppen styr åtkomsten till alla domänkontrollanter i domänen och kan ändra medlemskapet för alla administrativa grupper. Medlemmar i följande grupper kan ändra gruppmedlemskapet Administratörer: standardtjänstadministratörer, domänadministratörer i domänen och Företagsadministratörer. Den här gruppen har den särskilda behörigheten att ta över ägarskapet för alla objekt i katalogen eller någon resurs på en domänkontrollant. Den här gruppen anses vara en tjänstadministratörsgrupp eftersom dess medlemmar har fullständig åtkomst till domänkontrollanterna i domänen.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-544 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | Administratör, Domänadministratörer, Företagsadministratörer |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter |
Justera minneskvoter för en process: SeIncreaseQuotaPrivilege Komma åt den här datorn från nätverket: SeNetworkLogonRight Tillåt inloggning lokalt: SeInteractiveLogonRight Tillåt inloggning via Fjärrskrivbordstjänster: SeRemoteInteractiveLogonRight Säkerhetskopiera filer och kataloger: SeBackupPrivilege Kringgå kontroll för genomsökning: SeChangeNotifyPrivilege Ändra systemtid: SeSystemTimePrivilege Ändra tidszonen: SeTimeZonePrivilege Skapa en sidfil: SeCreatePagefilePrivilege Skapa globala objekt: SeCreateGlobalPrivilege Skapa symboliska länkar: SeCreateSymbolicLinkPrivilege Felsökningsprogram: SeDebugPrivilege Aktivera att dator- och användarkonton är betrodda för delegering: SeEnableDelegationPrivilege Framtvinga avstängning från ett fjärrsystem: SeRemoteShutdownPrivilege Personifiera en klient efter autentisering: SeImpersonatePrivilege Öka schemaläggningsprioriteten: SeIncreaseBasePriorityPrivilege Läsa in och avlasta enhetsdrivrutiner: SeLoadDriverPrivilege Logga in som ett batchjobb: SeBatchLogonRight Hantera gransknings- och säkerhetslogg: SeSecurityPrivilege Ändra miljövärden för inbyggd programvara: SeSystemEnvironmentPrivilege Utföra volymunderhållsuppgifter: SeManageVolumePrivilege Profilsystemprestanda: SeSystemProfilePrivilege Profilera enskild process: SeProfileSingleProcessPrivilege Ta bort datorn från dockningsstationen: SeUndockPrivilege Återställa filer och kataloger: SeRestorePrivilege Stäng av systemet: SeShutdownPrivilege Ta över ägarskapet för filer eller andra objekt: SeTakeOwnershipPrivilege |
Tillåten RODC-lösenordsreplikering
Syftet med den här säkerhetsgruppen är att hantera en endast läsbar domänkontrollants (RODC) lösenordsreplikeringspolicy. Den här gruppen har inga medlemmar som standard. Det innebär att nya RODC:er inte cachelagrade användarautentiseringsuppgifter. Gruppen Nekad RODC-lösenordsreplikering innehåller olika konton med hög behörighet och säkerhetsgrupper. Gruppen Nekad RODC-lösenordsreplikering ersätter gruppen Tillåten RODC-lösenordsreplikering. Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-571<> |
| Type | Domänlokal |
| Förvald container | CN=Användare DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Ja, särskilt när de delegeras till en anpassad grupp som använder en detaljerad lösenordsprincip |
| Standardanvändarrättigheter | None |
Ansvariga för säkerhetskopiering
Medlemmar i gruppen Säkerhetskopieringsoperatörer kan säkerhetskopiera och återställa alla filer på en dator, oavsett vilka behörigheter som skyddar filerna. Säkerhetskopieringsoperatorer kan också logga in på och stänga av datorn. Den här gruppen kan inte ändras, raderas eller tas bort. Som standard har den här inbyggda gruppen inga medlemmar, och den kan utföra säkerhetskopierings- och återställningsåtgärder på domänkontrollanter. Medlemmar i följande grupper kan ändra gruppmedlemskap för säkerhetskopieringsoperatörer: standardtjänstadministratörer, domänadministratörer i domänen och företagsadministratörer. Medlemmar i gruppen Säkerhetskopieringsoperatörer kan inte ändra medlemskap i några administrativa grupper. Även om medlemmar i den här gruppen inte kan ändra serverinställningar eller ändra konfigurationen av katalogen, har de de behörigheter som krävs för att ersätta filer (inklusive OS-filer) på domänkontrollanter. Eftersom medlemmar i den här gruppen kan ersätta filer på domänkontrollanter anses de vara tjänstadministratörer.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-551 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter |
Tillåt inloggning lokalt: SeInteractiveLogonRight Säkerhetskopiera filer och kataloger: SeBackupPrivilege Logga in som ett batchjobb: SeBatchLogonRight Återställa filer och kataloger: SeRestorePrivilege Stäng av systemet: SeShutdownPrivilege |
DCOM-åtkomst för certifikattjänsten
Medlemmar i den här gruppen kan ansluta till certifikatutfärdare i företaget. Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-domain-574<> |
| Type | Lokal domän |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | |
| Standardanvändarrättigheter | None |
Utfärdare av certifikat
Medlemmar i gruppen Cert Publishers har behörighet att publicera certifikat för användarobjekt i Active Directory. Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-517<> |
| Type | Lokal domän |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | Avslagen RODC-lösenordsreplikerings |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Klonbara domänkontrollanter
Medlemmar i gruppen Klonbara domänkontrollanter som är domänkontrollanter kan klonas. I Windows Server 2012 R2 och Windows Server 2012 kan du distribuera domänkontrollanter genom att kopiera en befintlig virtuell domänkontrollant. I en virtuell miljö kan du inte upprepade gånger distribuera en serverbild som förbereds med hjälp Sysprep.exe av verktyget. Det är inte heller tillåtet att marknadsföra servern till en domänkontrollant och sedan slutföra fler konfigurationskrav för att distribuera varje domänkontrollant (inklusive att lägga till den virtuella domänkontrollanten i den här säkerhetsgruppen). Den här gruppen kan inte ändras, raderas eller tas bort.
Mer information finns i Virtualisera Active Directory Domain Services (AD DS) på ett säkert sätt.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-522<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Kryptografiska operatorer
Medlemmar i den här gruppen har behörighet att utföra kryptografiska åtgärder. Den här säkerhetsgruppen konfigurerar Windows-brandväggen för IPsec i läget Vanliga kriterier. Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-569 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Förneka RODC-lösenordsreplikering
Lösenord för medlemmar i gruppen Nekad RODC-lösenordsreplikering kan inte replikeras till någon RODC.
Syftet med den här säkerhetsgruppen är att hantera en lösenordsreplikeringsprincip för RODC. Den här gruppen innehåller olika konton med hög behörighet och säkerhetsgrupper. Gruppen Nekad RODC-lösenordsreplikering ersätter gruppen Tillåten RODC-lösenordsreplikering .
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-572<> |
| Type | Domänlokal |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Cert Publishers |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Ja, särskilt när de delegeras till en anpassad grupp som använder en detaljerad lösenordsprincip |
| Standardanvändarrättigheter | None |
Enhetsägare
När gruppen Enhetsägare inte har några medlemmar rekommenderar vi att du inte ändrar standardkonfigurationen för den här säkerhetsgruppen. Om du ändrar standardkonfigurationen kan det hindra framtida scenarier som är beroende av den här gruppen. Gruppen Enhetsägare används för närvarande inte i Windows.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-583 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Ja, men rekommenderas inte |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter |
Tillåt inloggning lokalt: SeInteractiveLogonRight Komma åt den här datorn från nätverket: SeNetworkLogonRight Kringgå kontroll för genomsökning: SeChangeNotifyPrivilege Ändra tidszonen: SeTimeZonePrivilege |
DHCP-administratörer
Medlemmar i gruppen DHCP-administratörer kan skapa, ta bort och hantera olika områden i serverns omfång. Grupprättigheter omfattar möjligheten att säkerhetskopiera och återställa DHCP-databasen (Dynamic Host Configuration Protocol). Även om den här gruppen har administrativa rättigheter är den inte en del av gruppen Administratörer eftersom den här rollen är begränsad till DHCP-tjänster.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domän<> |
| Type | Lokal domän |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | Users |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Ja, men rekommenderas inte |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
DHCP-användare
Medlemmar i gruppen DHCP-användare kan se vilka omfång som är aktiva eller inaktiva, inklusive vilka IP-adresser som tilldelas. Gruppmedlemmar kan också visa anslutningsproblem om DHCP-servern inte är korrekt konfigurerad. Den här gruppen är begränsad till skrivskyddad åtkomst till DHCP-servern.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domän<> |
| Type | Lokal domän |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | Users |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Ja, men rekommenderas inte |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Distribuerade COM-användare
Medlemmar i gruppen Distribuerade COM-användare kan starta, aktivera och använda DCOM-objekt (Distributed Component Object Model) på datorn. Microsoft Component Object Model (COM) är ett plattformsoberoende, distribuerat, objektorienterat system för att skapa binära programvarukomponenter som kan interagera. När du använder DCOM-objekt kan du distribuera dina program på platser som passar bäst för dig och till programmen. Den här gruppen visas som ett SID tills domänkontrollanten har blivit den primära domänkontrollanten och den har rollen som åtgärdshanterare, som även kallas FSMO-rollen (flexible single master operations). Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-562 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | |
| Standardanvändarrättigheter | None |
DnsUpdateProxy
Medlemmar i gruppen DnsUpdateProxy är DNS-klienter (Domain Name System). De får utföra dynamiska uppdateringar för andra klienters räkning, till exempel DHCP-servrar. En DNS-server kan utveckla inaktuella resursposter när en DHCP-server har konfigurerats för att dynamiskt registrera värdresursposter (A) och pekare (PTR) för DHCP-klienter med hjälp av dynamisk uppdatering. Om du lägger till klienter i den här säkerhetsgruppen minimeras det här scenariot.
För att skydda mot oskyddade poster eller för att tillåta medlemmar i gruppen DnsUpdateProxy att registrera poster i zoner som endast tillåter skyddade dynamiska uppdateringar, måste du skapa ett dedikerat användarkonto. Du måste också konfigurera DHCP-servrar för att utföra dynamiska DNS-uppdateringar med hjälp av användarnamnet, lösenordet och domänen för det här kontot. Flera DHCP-servrar kan använda autentiseringsuppgifterna för ett dedikerat användarkonto. Den här gruppen finns bara om DNS-serverrollen är eller någon gång har installerats på en domänkontrollant i domänen.
För mer information, se DNS-postägarskap och gruppen DnsUpdateProxy.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-<domain>-<variable RID> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | |
| Standardanvändarrättigheter | None |
DnsAdmins
Medlemmar i dnsAdmins-gruppen har åtkomst till nätverks-DNS-information. Som standard tilldelas medlemmar i den här gruppen följande behörigheter: Läsa, Skriva, Skapa alla underordnade objekt, Ta bort underordnade objekt och Särskilda behörigheter. Den här gruppen finns bara om DNS-serverrollen är eller någon gång har installerats på en domänkontrollant i domänen.
Mer information om säkerhet och DNS finns i DNSSEC i Windows Server 2012.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-<domain>-<variable RID> |
| Type | Inbyggd lokal |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Domänadministratörer
Medlemmar i säkerhetsgruppen Domänadministratörer har behörighet att administrera domänen. Som standard är gruppen Domänadministratörer medlem i gruppen Administratörer på alla datorer som ansluter till en domän, inklusive domänkontrollanterna. Gruppen Domänadministratörer är standardägare för alla objekt som har skapats i Active Directory för domänen av alla medlemmar i gruppen. Om medlemmar i gruppen skapar andra objekt, till exempel filer, är standardägaren gruppen Administratörer.
Gruppen Domänadministratörer styr åtkomsten till alla domänkontrollanter i en domän och kan ändra medlemskapet för alla administrativa konton i domänen. Medlemmar i tjänstadministratörsgrupperna i dess domän (administratörer och domänadministratörer) och medlemmar i gruppen Företagsadministratörer kan ändra medlemskap i domänadministratörer. Den här gruppen anses vara ett tjänstadministratörskonto eftersom dess medlemmar har fullständig åtkomst till domänkontrollanterna i en domän.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-512<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Administratör |
| Standardmedlem av | Administrators |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | Se Administratörer |
Domändatorer
Den här gruppen kan omfatta alla datorer och servrar som ansluter till domänen, exklusive domänkontrollanter. Som standard blir alla datorkonton som skapas automatiskt medlemmar i den här gruppen.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-515<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Alla datorer som är anslutna till domänen, exklusive domänkontrollanter |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Ja, men krävs inte |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | None |
Domänkontrollanter
Gruppen Domänkontrollanter kan innehålla alla domänkontrollanter i domänen. Nya domänkontrollanter läggs automatiskt till i den här gruppen.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-516<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Datorkonton för alla domänkontrollanter i domänen |
| Standardmedlem av | Avslagen RODC-lösenordsreplikerings |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | None |
Domängäster
Gruppen Domängäster innehåller domänens inbyggda gästkonto. När medlemmar i den här gruppen loggar in som lokala gäster på en domänansluten dator skapas en domänprofil på den lokala datorn.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-514<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Gäst |
| Standardmedlem av | Guests |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Ja, men rekommenderas inte |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | Titta på Gäster |
Domänanvändare
Gruppen Domänanvändare innehåller alla användarkonton i en domän. När du skapar ett användarkonto i en domän läggs det till i den här gruppen som standard.
Du kan använda den här gruppen för att representera alla användare i domänen. Om du till exempel vill att alla domänanvändare ska ha åtkomst till en skrivare kan du tilldela behörigheter för skrivaren till den här gruppen. Eller så kan du lägga till gruppen Domänanvändare i en lokal grupp på utskriftsservern som har behörighet för skrivaren.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-513<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Administratör |
| Standardmedlem av | Users |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | Se Användare |
Företagsadministratörer
Gruppen Företagsadministratörer finns bara i rotdomänen för en Active Directory-skog med domäner. Gruppen är en universell grupp om domänen är i inbyggt läge. Gruppen är en global grupp om domänen är i blandat läge. Medlemmar i den här gruppen har behörighet att göra skogsomfattande ändringar i Active Directory, som att lägga till underordnade domäner.
Som standard är den enda medlemmen i gruppen administratörskontot för skogens rotdomän. Den här gruppen läggs automatiskt till i gruppen Administratörer i alla domäner i skogen och ger fullständig åtkomst till att konfigurera alla domänkontrollanter. Medlemmar i den här gruppen kan ändra medlemskapet för alla administrativa grupper. Medlemmar i standardtjänstadministratörsgrupperna i rotdomänen kan ändra medlemskap i Företagsadministratörer. Den här gruppen anses vara ett tjänstadministratörskonto.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-rot-domän-519<> |
| Type | Universell om domänen är i inbyggt läge; i annat fall, global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Administratör |
| Standardmedlem av | Administrators |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | Se Administratörer |
Företagsnyckeladministratörer
Medlemmar i den här gruppen kan utföra administrativa åtgärder på viktiga objekt i skogen.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-527<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Skrivskyddade domänkontrollanter för företag
Medlemmar i den här gruppen är RODC:er i företaget. Förutom kontolösenord innehåller en RODC alla Active Directory-objekt och attribut som en skrivbar domänkontrollant innehåller. Det går dock inte att göra ändringar i databasen som lagras på RODC. Ändringar måste göras på en skrivbar domänkontrollant och sedan replikeras till RODC.
RODC:er hanterar några av de problem som ofta finns på avdelningskontor. Dessa platser kanske inte har någon domänkontrollant, eller så kanske de har en skrivbar domänkontrollant, men inte fysisk säkerhet, nätverksbandbredd eller lokal expertis för att stödja den.
Mer information finns i Vad är en RODC?.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-root< domän-498> |
| Type | Universal |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | N/A |
| Standardanvändarrättigheter | None |
Läsare av händelseloggar
Medlemmar i den här gruppen kan läsa händelseloggar från lokala datorer. Gruppen skapas när servern befordras till en domänkontrollant. Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-573 |
| Type | Lokal domän |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Ägare av gruppolicyskapare
Den här gruppen har behörighet att skapa, redigera och ta bort grupprincipobjekt i domänen. Som standard är den enda medlemmen i gruppen Administratör.
Information om andra funktioner som du kan använda med den här säkerhetsgruppen finns i Översikt över grupprincip.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-520<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Administratör |
| Standardmedlem av | Avslagen RODC-lösenordsreplikerings |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | Se Ej tillåten RODC-lösenordsreplikering |
Guests
Medlemmar i gruppen Gäster och användare har liknande åtkomst som standard. Skillnaden är att gästkontot har ytterligare begränsningar. Som standard är gästkontot den enda medlemmen i gruppen Gäster. Gruppen Gäster gör det möjligt för tillfälliga eller engångsanvändare att logga in med begränsad behörighet till en dators inbyggda gästkonto.
När en medlem i gruppen Gäster loggar ut tas hela profilen bort. Profilborttagningen innehåller allt som lagras i %userprofile% katalogen, inklusive användarens registreringsdatafilinformation, anpassade skrivbordsikoner och andra användarspecifika inställningar. Detta innebär att en gäst måste använda en tillfällig profil för att logga in på systemet. Den här säkerhetsgruppen interagerar med följande grupprincipinställning: Logga inte in användare med tillfälliga profiler. Om du vill komma åt den här inställningen öppnar du redigeraren Grupprinciphantering och går sedan till Datorkonfiguration>Administrativa mallar>>.
Note
Som standard är ett gästkonto medlem i säkerhetsgruppen "Gäster". Personer som inte har ett faktiskt konto i domänen kan använda gästkontot. En användare vars konto är inaktiverat (men inte tagits bort) kan också använda gästkontot. Gästkontot kräver inget lösenord. Du kan ange rättigheter och behörigheter för gästkontot som i valfritt användarkonto. Gästkontot är som standard medlem i den inbyggda gruppen Gäster och gruppen Globala domängäster, vilket gör att en användare kan logga in på en domän. Gästkontot är inaktiverat som standard och vi rekommenderar att det förblir inaktiverat.
Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-546 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | Domängäster |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Hyper-V-administratörer
Medlemmar i gruppen Hyper-V Administratörer har fullständig och obegränsad åtkomst till alla funktioner i Hyper-V. Genom att lägga till medlemmar i den här gruppen minskar du antalet medlemmar som krävs i gruppen Administratörer och separerar åtkomsten ytterligare. Den här gruppen kan inte ändras, raderas eller tas bort.
Note
Före Windows Server 2012, styrdes och hade medlemmarna i administratörsgruppen åtkomst till Hyper-V-funktioner.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-578 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Hyper-V Administratörstjänster bör inte användas på domänkontrollanter. Gruppen ska vara tomma. |
| Standardanvändarrättigheter | None |
IIS_IUSRS
IIS_IUSRS är en inbyggd grupp som används av IIS (Internet Information Services) och börjar med IIS 7. Operativsystemet ser till att varje inbyggt konto och grupp har ett unikt SID. IIS 7 ersätter IUSR_MachineName-kontot och gruppen IIS_WPG med gruppen IIS_IUSRS för att säkerställa att de faktiska namnen som det nya kontot och gruppen använder aldrig lokaliseras. Oavsett till exempel språket för det Windows-operativsystem som du installerar är IIS-kontonamnet IUSR och gruppnamnet är IIS_IUSRS.
Mer information finns i Förstå inbyggda användar- och gruppkonton i IIS 7.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-568 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | IUSR |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Inkommande forest trust builders
Medlemmar i gruppen Incoming Forest Trust Builders kan skapa inkommande enkelriktade förtroenden till en skog. Active Directory ger säkerhet över flera domäner eller skogar via domän- och skogsförtroenderelationer. Innan autentisering kan ske mellan förtroenden måste Windows avgöra om domänen som begärs är av en användare, dator eller tjänst som har en förtroenderelation med inloggningsdomänen för det begärande kontot.
För att göra detta beräknar Windows säkerhetssystem en förtroendesökväg mellan domänkontrollanten för servern som tar emot begäran och en domänkontrollant i domänen för det begärande kontot. En skyddad kanal utökas till andra Active Directory-domäner via förtroenderelationer mellan domäner. Den här skyddade kanalen används för att hämta och verifiera säkerhetsinformation, inklusive SID:er för användare och grupper.
Den här gruppen visas som ett SID tills domänkontrollanten blir den primära domänkontrollanten och den har rollen operations master (FSMO). Den här gruppen kan inte ändras, raderas eller tas bort.
Mer information finns i Hur domän- och skogsförtroenden fungerar.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-557 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Nyckeladministratörer
Medlemmar i den här gruppen kan utföra administrativa åtgärder på viktiga objekt i domänen.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-526<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Nätverkskonfigurationsoperatorer
Medlemmar i gruppen Nätverkskonfigurationsoperatörer har följande administrativa behörigheter för att hantera konfiguration av nätverksfunktioner:
- Ändra TCP/IP-egenskaperna (Transmission Control Protocol/Internet Protocol) för en LAN-anslutning (Local Area Network), som innehåller IP-adressen, nätmasken, standardgatewayen och namnservrarna
- Byt namn på de LAN-anslutningar eller fjärråtkomstanslutningar som är tillgängliga för alla användare
- Aktivera eller inaktivera en LAN-anslutning
- Ändra egenskaperna för alla fjärråtkomstanslutningar för användare
- Ta bort alla fjärråtkomstanslutningar för användare
- Byt namn på alla fjärråtkomstanslutningar för användare
- Utfärda
ipconfigkommandona ,ipconfig /releaseochipconfig /renew - Ange PIN-avblockeringsnyckeln (PUK) för mobila bredbandsenheter som stöder ett SIM-kort
Den här gruppen visas som ett SID tills domänkontrollanten blir den primära domänkontrollanten och den har rollen operations master (FSMO). Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-556 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | None |
Användare av prestandaloggar
Medlemmar i gruppen Användare av prestandaloggar kan hantera prestandaräknare, loggar och aviseringar lokalt på servern och från fjärrklienter utan att vara medlemmar i gruppen Administratörer. Mer specifikt, medlemmar i den här säkerhetsgruppen:
- Kan använda alla funktioner som är tillgängliga för gruppen Användare av prestandaövervakare.
- Det går inte att använda Windows Kernel Trace-händelseprovidern i Data Collector Sets.
Note
I Windows Server 2016 och senare kan en medlem i gruppen Användare av prestandaloggar inte skapa datainsamlaruppsättningar. Om en medlem i gruppen Användare av prestandaloggar försöker skapa datainsamlaruppsättningar kan de inte slutföra åtgärden eftersom åtkomst nekas.
För att medlemmar i gruppen Användare av prestandaloggar ska kunna initiera dataloggning eller ändra datainsamlaruppsättningar måste gruppen först tilldelas inloggningen som en användarbehörighet för batchjobb . För att tilldela den här användarrättigheten använder du snapin-modulen Lokal säkerhetsprincip i Microsoft Management Console (MMC).
Den här gruppen visas som ett SID tills domänkontrollanten blir den primära domänkontrollanten och den har rollen operations master (FSMO). Det här kontot kan inte byta namn, tas bort eller flyttas.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-559 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | Logga in som ett batchjobb: SeBatchLogonRight |
Användare av prestandaövervakare
Medlemmar i den här gruppen kan övervaka prestandaräknare på domänkontrollanter i domänen, lokalt och från fjärrklienter, utan att vara medlem i grupperna Administratörer eller Prestandalogganvändare. Windows Performance Monitor är en MMC-snapin-modul som innehåller verktyg för att analysera systemprestanda. Från en enda konsol kan du övervaka program- och maskinvaruprestanda, anpassa vilka data du vill samla in i loggar, definiera tröskelvärden för aviseringar och automatiska åtgärder, generera rapporter och visa tidigare prestandadata på olika sätt.
Mer specifikt, medlemmar i den här säkerhetsgruppen:
- Kan använda alla funktioner som är tillgängliga för gruppen Användare.
- Kan visa prestandadata i realtid i Prestandaövervakaren.
- Kan ändra visningsegenskaperna för Prestandaövervakaren när du visar data.
- Det går inte att skapa eller ändra datainsamlaruppsättningar.
Den här gruppen visas som ett SID tills domänkontrollanten blir den primära domänkontrollanten och den har rollen operations master (FSMO). Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-558 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | None |
Pre-Windows 2000-kompatibel åtkomst
Medlemmar i Pre–Windows 2000-kompatibel åtkomstgruppen har läsbehörighet för alla användare och grupper i domänen. Den här gruppen tillhandahålls för bakåtkompatibilitet för datorer som kör Windows NT 4.0 och tidigare. Som standard är den särskilda identitetsgruppen Alla medlem i den här gruppen. Lägg bara till användare i den här gruppen om de kör Windows NT 4.0 eller tidigare.
Warning
Den här gruppen visas som ett SID tills domänkontrollanten blir den primära domänkontrollanten och den har rollen operations master (FSMO).
Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-554 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter |
Komma åt den här datorn från nätverket: SeNetworkLogonRight Kringgå kontroll för genomsökning: SeChangeNotifyPrivilege |
Utskriftsoperatörer
Medlemmar i den här gruppen kan hantera, skapa, dela och ta bort skrivare som är anslutna till domänkontrollanter i domänen. De kan också hantera Active Directory-skrivarobjekt i domänen. Medlemmar i den här gruppen kan logga in lokalt på och stänga av domänkontrollanter i domänen.
Den här gruppen har inga standardmedlemmar. Eftersom medlemmar i den här gruppen kan läsa in och ta bort enhetsdrivrutiner på alla domänkontrollanter i domänen lägger du till användare med försiktighet. Den här gruppen kan inte ändras, raderas eller tas bort.
Mer information finns i Tilldela delegerad utskriftsadministratör och skrivarbehörighetsinställningar i Windows Server 2012.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-550 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter |
Tillåt inloggning lokalt: SeInteractiveLogonRight Läsa in och avlasta enhetsdrivrutiner: SeLoadDriverPrivilege Stäng av systemet: SeShutdownPrivilege |
Skyddade användare
Medlemmar i gruppen Skyddade användare har extra skydd mot att autentiseringsuppgifterna komprometteras under autentiseringsprocesserna.
Den här säkerhetsgruppen är utformad som en del av en strategi för att effektivt skydda och hantera autentiseringsuppgifter inom företaget. Medlemmar i den här gruppen har automatiskt ett icke-konfigurerbart skydd som tillämpas på deras konton. Medlemskap i gruppen Skyddade användare är avsett att vara restriktivt och proaktivt säkert som standard. Det enda sättet att ändra skyddet för ett konto är att ta bort kontot från säkerhetsgruppen.
Den här domänrelaterade globala gruppen utlöser ett icke-konfigurerbart skydd på enheter och värddatorer, från och med Windows Server 2012 R2 och Windows 8.1. Det utlöser också ett icke-konfigurerbart skydd på domänkontrollanter i domäner som har en primär domänkontrollant som kör Windows Server 2012 R2 eller senare. Det här skyddet minskar avsevärt minnesavtrycket för autentiseringsuppgifter när användare loggar in på datorer i nätverket från en dator som inte är kompatibel.
Beroende på kontots domänfunktionsnivå skyddas medlemmar i gruppen Skyddade användare ytterligare på grund av beteendeändringar i de autentiseringsmetoder som stöds i Windows:
- Medlemmar i gruppen Skyddade användare kan inte autentisera med hjälp av följande SSP:er (Security Support Providers): New Technology LAN Manager (NTLM), Digest Authentication eller Credential Security Support Provider (CredSSP). Lösenord cachelagras inte på en enhet som kör Windows 10 eller Windows 8.1. Enheten kan inte autentiseras till en domän när kontot är medlem i gruppen Skyddade användare.
- Kerberos-protokollet använder inte de svagare krypteringstyperna Data Encryption Standard (DES) eller Rivest Cipher 4 (RC4) i förautentiseringsprocessen. Domänen måste vara konfigurerad för att stödja minst AES-chiffersviten (Advanced Encryption Standard).
- Användarens konto kan inte delegeras med Kerberos-begränsad eller obegränsad delegering. Om användaren är medlem i gruppen Skyddade användare kan tidigare anslutningar till andra system misslyckas.
- Du kan ändra standardtiden för Kerberos TGT-biljetter från fyra timmar genom att använda autentiseringsprinciper och silon i administrationscentret för Active Directory. I standardinställningen måste användaren autentisera efter fyra timmars pass.
Den här gruppen introducerades i Windows Server 2012 R2. Mer information om hur den här gruppen fungerar finns i Säkerhetsgrupp för skyddade användare.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-525<> |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
RAS- och IAS-servrar
Datorer som är medlemmar i gruppen RAS- och IAS-servrar, när de är korrekt konfigurerade, kan använda fjärråtkomsttjänster. Som standard har den här gruppen inga medlemmar. Datorer som kör routnings- och fjärråtkomsttjänsten (RRAS) och fjärråtkomsttjänster, till exempel IAS (Internet Authentication Service) och nätverksprincipservrar, läggs automatiskt till i gruppen. Medlemmar i den här gruppen har åtkomst till vissa egenskaper för användarobjekt, till exempel Läs kontobegränsningar, Läs inloggningsinformation och Läs information om fjärråtkomst.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-domain-553<> |
| Type | Inbyggd lokal |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | None |
RDS-slutpunktsservrar
Servrar som är medlemmar i gruppen RDS-slutpunktsservrar kan köra virtuella datorer och värdsessioner där användarprogram för RemoteApp-funktionen och personliga virtuella skrivbord körs. Du måste fylla i den här gruppen på servrar som kör Anslutningsutjämning för fjärrskrivbord (Anslutningsutjämning för fjärrskrivbord). Sessionsvärdservrar och värdservrar för fjärrskrivbordsvirtualisering (RD Virtualization Host) som används i distributionen måste finnas i den här gruppen. Den här gruppen kan inte ändras, raderas eller tas bort.
Information om Fjärrskrivbordstjänster (RDS) finns i Översikt över fjärrskrivbordstjänster i Windows Server.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-576 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | RDS-slutpunktsservrar bör inte användas på domänkontrollanter. Gruppen ska vara tom. |
| Standardanvändarrättigheter | None |
RDS-hanteringsservrar
Du kan använda servrar som är medlemmar i gruppen RDS-hanteringsservrar för att utföra rutinmässiga administrativa åtgärder på servrar som kör RDS. Du måste fylla i den här gruppen på alla servrar i en RDS-distribution. Servrarna som kör RDS Central Management-tjänsten måste ingå i den här gruppen. Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-577 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | RDS-hanteringsservrar bör inte användas på domänkontrollanter. Gruppen bör vara tom. |
| Standardanvändarrättigheter | None |
RDS fjärråtkomstservrar
Servrar i gruppen RDS-fjärråtkomstservrar ger användarna åtkomst till program genom RemoteApp-funktionens och personliga virtuella skrivbord. I internetuppkopplade distributioner distribueras dessa servrar vanligtvis i ett gränsnätverk. Du måste konfigurera den här gruppen på servrar som kör RD Connection Broker. Fjärrskrivbordsgatewayservrar (RD Gateway) och fjärrskrivbordswebbåtkomstservrar (RD Web Access) som används i distributionen måste finnas i den här gruppen. Den här gruppen kan inte ändras, raderas eller tas bort.
Mer information finns i Översikt över fjärrskrivbordstjänster i Windows Server.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-575 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | RDS-tjänster för fjärråtkomst bör inte användas på domänkontrollanter. Gruppen ska vara tom. |
| Standardanvändarrättigheter | None |
Skrivskyddade domänkontrollanter
Den här gruppen består av RODC:er i domänen. En RODC gör det möjligt för organisationer att enkelt distribuera en domänkontrollant i scenarier där fysisk säkerhet inte kan garanteras. Ett exempelscenario är en avdelningskontorsplats eller lokal lagring av alla domänlösenord som anses vara ett primärt hot, till exempel i ett extranät eller en programinriktad roll.
Eftersom du kan delegera administration av en RODC till en domänanvändare eller säkerhetsgrupp passar en RODC bra för en webbplats som inte ska ha en användare som är medlem i gruppen Domänadministratörer. En RODC har följande funktioner:
- En skrivskyddad AD DS-databas
- Enkelriktad replikering
- Cachelagring av autentiseringsuppgifter
- Administratörsrollsavgränsning
- En skrivskyddad DNS
Mer information finns i Förstå planering och distribution för Read-Only domänkontrollanter.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-<domän>-521 |
| Type | Global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | Avslagen RODC-lösenordsreplikerings |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | N/A |
| Standardanvändarrättigheter | Se Ej tillåten RODC-lösenordsreplikering |
Fjärrskrivbordsanvändare
Du kan använda gruppen Fjärrskrivbordsanvändare på en värd för fjärrskrivbordssession (RD Session Host) för att ge användare och grupper behörigheter att ansluta fjärrmässigt till en värd för fjärrskrivbordssession. Den här gruppen kan inte ändras, raderas eller tas bort. Gruppen visas som ett SID tills domänkontrollanten blir den primära domänkontrollanten och har operations master-rollen (FSMO).
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-555 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | None |
Fjärrhanteringsanvändare
Medlemmar i gruppen Fjärrhanteringsanvändare kan komma åt WMI-resurser (Windows Management Instrumentation) via hanteringsprotokoll som Web Services for Management (WS-Management) via Windows Remote Management-tjänsten. Åtkomst till WMI-resurser gäller endast för WMI-namnområden som ger åtkomst till användaren.
Använd gruppen Fjärrhanteringsanvändare för att tillåta användare att hantera servrar via Serverhanteraren-konsolen. Använd gruppen WinRMRemoteWMIUsers__ för att tillåta användare att fjärrköra Windows PowerShell-kommandon.
Den här gruppen kan inte ändras, raderas eller tas bort.
Mer information finns i Om WMI och Vad är nytt i MI?.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-580 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | |
| Standardanvändarrättigheter | None |
Replicator
Datorer som är medlemmar i replikatorgruppen stöder filreplikering i en domän. Windows Server använder Tjänsten för filreplikering (FRS) för att replikera systemprinciper och inloggningsskript som lagras i mappen System Volume (sysvol folder). Varje domänkontrollant behåller en kopia av sysvol-mappen som nätverksklienter kan komma åt. FRS kan också replikera data för DFS (Distributed File System) och synkronisera innehållet för varje medlem i en replikuppsättning som definierats av DFS. FRS kan kopiera och underhålla delade filer och mappar på flera servrar samtidigt. När ändringar sker synkroniseras innehållet omedelbart inom webbplatser och enligt ett schema mellan webbplatser.
Warning
I Windows Server 2008 R2 kan du inte använda FRS för att replikera DFS-mappar eller anpassade data (icke-sysvol). En Windows Server 2008 R2-domänkontrollant kan fortfarande använda FRS för att replikera innehållet i den delade resursen för sysvol-mappen i en domän som använder FRS för att replikera den delade sysvol-mappen mellan domänkontrollanter. Windows Server 2008 R2-servrar kan dock inte använda FRS för att replikera innehållet i en replikuppsättning förutom den delade resursen för sysvol-mappen. TJÄNSTEN DFS Replication ersätter FRS. Du kan använda DFS Replication för att replikera innehållet i en delad resurs för sysvol-mappen, DFS-mappar och andra anpassade data (icke-sysvol). Du bör migrera alla FRS-replikeringsuppsättningar som inte är sysvol till DFS Replication.
Mer information finns i följande resurser:
- Filreplikeringstjänsten (FRS) är inaktuell i Windows Server 2008 R2 (Windows)
- Översikt över DFS-namnområden och DFS Replication
Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-552 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Schemaadministratörer
Medlemmar i gruppen Schemaadministratörer kan ändra Active Directory-schemat. Den här gruppen finns bara i rotdomänen för en Active Directory-skog med domäner. Den här gruppen är en universell grupp om domänen är i inbyggt läge. Den här gruppen är en global grupp om domänen är i blandat läge.
Som standard är den enda medlemmen i gruppen administratörskontot för skogens rotdomän. Den här gruppen har fullständig administrativ åtkomst till schemat.
Alla tjänstadministratörsgrupper i rotdomänen kan ändra medlemskapet i den här gruppen. Den här gruppen anses vara ett tjänstadministratörskonto eftersom dess medlemmar kan ändra schemat, som styr strukturen och innehållet i hela katalogen.
Mer information finns i Vad är Active Directory-schemat?
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-rotdomän-518<> |
| Type | Universell om domänen är i inbyggt läge; i annat fall, global |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | Administratör |
| Standardmedlem av | Avslagen RODC-lösenordsreplikerings |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | Se Ej tillåten RODC-lösenordsreplikering |
Serveransvariga
Medlemmar i gruppen Serveroperatörer kan administrera domänkontrollanter. Den här gruppen finns bara på domänkontrollanter. Som standardinställning har den här gruppen inga medlemmar och kan inte byta namn, raderas eller tas bort. Medlemmar i gruppen Serveroperatörer kan vidta följande åtgärder:
- Logga in på en server interaktivt
- Skapa och ta bort nätverksdelade resurser
- Stoppa och starta tjänster
- Säkerhetskopiera och återställa filer
- Formatera enhetens hårddisk
- Stäng av enheten
Som standard har den här inbyggda gruppen inga medlemmar. Den här gruppen har åtkomst till serverkonfigurationsalternativ på domänkontrollanter. Dess medlemskap styrs via tjänstadministratörsgrupperna Administratörer och domänadministratörer i domänen och av gruppen Företagsadministratörer i skogens rotdomän. Medlemmar i den här gruppen kan inte ändra några administrativa gruppmedlemskap. Den här gruppen anses vara ett tjänstadministratörskonto eftersom dess medlemmar har fysisk åtkomst till domänkontrollanter. Medlemmar i den här gruppen kan utföra underhållsaktiviteter som säkerhetskopiering och återställning, och de kan ändra binärfiler som är installerade på domänkontrollanterna. Gruppens standardanvändarrättigheter finns i följande tabell.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-549 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | Yes |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter |
Tillåt inloggning lokalt: SeInteractiveLogonRight Säkerhetskopiera filer och kataloger: SeBackupPrivilege Ändra systemtid: SeSystemTimePrivilege Ändra tidszonen: SeTimeZonePrivilege Framtvinga avstängning från ett fjärrsystem: SeRemoteShutdownPrivilege Återställa filer och kataloger: Återställa filer och kataloger SeRestorePrivilege Stäng av systemet: SeShutdownPrivilege |
Administratörer för lagringsreplikering
Medlemmar i gruppen Administratörer för lagringsrepliker har fullständig och obegränsad åtkomst till alla funktioner i verktyget Storage Replica.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-582 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Systemhanterade konton
Medlemskap i gruppen Systemhanterade konton är systemhanterat. Den här gruppen innehåller DSMA (Default System Managed Account), som underlättar systemfunktioner.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-581 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | Users |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Licensservrar för Terminal Server
Medlemmar i gruppen Terminal Server-licensservrar kan uppdatera användarkonton i Active Directory med information om licensutfärdning. Gruppen används för att spåra och rapportera användning av Terminal Server Per User Client Access License (TS per användare CAL). En TS per användare CAL ger en användare rätt att komma åt en instans av Terminal Server från ett obegränsat antal klientdatorer eller enheter. Den här gruppen visas som ett SID tills domänkontrollanten blir den primära domänkontrollanten och den har rollen operations master (FSMO). Den här gruppen kan inte ändras, raderas eller tas bort.
Mer information om den här säkerhetsgruppen finns i Terminal Services License Server-säkerhetsgruppkonfiguration.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-561 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | None |
Users
Medlemmar i gruppen Användare hindras från att göra oavsiktliga eller avsiktliga systemomfattande ändringar. Medlemmar i den här gruppen kan köra de flesta program. Efter den första installationen av operativsystemet är den enda medlemmen gruppen Autentiserade användare. När en dator ansluter till en domän läggs gruppen Domänanvändare till i gruppen Användare på datorn.
Användare kan utföra uppgifter som att köra ett program, använda lokala skrivare och nätverksskrivare, stänga av datorn och låsa datorn. Användare kan installera program som bara de kan använda om programmets installationsprogram stöder installation per användare. Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-545 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | autentiserade användare |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | No |
| Standardanvändarrättigheter | None |
Windows-auktoriseringsåtkomst
Medlemmar i den här gruppen har åtkomst till tokenGroupsGlobalAndUniversal attributet för användarobjekt. Den här åtkomsten är användbar eftersom vissa programfunktioner läser token-groups-global-and-universal attributet (TGGAU) för användarkontoobjekt eller på datorkontoobjekt i AD DS. Vissa Win32-funktioner gör det lättare att läsa attributet TGGAU . Men program som läser det här attributet eller som anropar ett API som läser det här attributet lyckas inte om den anropande säkerhetskontexten inte har åtkomst till attributet. Den här gruppen gör det enklare att bevilja läsåtkomst till attributet.
Den här gruppen visas som ett SID tills domänkontrollanten blir den primära domänkontrollanten och den har rollen operations master (FSMO). Den här gruppen kan inte ändras, raderas eller tas bort.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-32-560 |
| Type | Inbyggd lokal |
| Förvald container | CN=Inbyggd, DC=<domän>, DC= |
| Standardmedlemmar | Företagsdomänkontrollanter |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Det går inte att flytta |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | Yes |
| Standardanvändarrättigheter | None |
WinRMRemoteWMIUsers__
Från och med Windows Server 2012 och Windows 8 innehåller användargränssnittet Avancerade säkerhetsinställningar delnings-fliken. På den här fliken visas säkerhetsegenskaperna för en fjärrdelad filresurs. Om du vill visa den här informationen måste du ha följande behörigheter och medlemskap:
- Du måste vara medlem i gruppen WinRMRemoteWMIUsers__ eller gruppen BUILTIN\Administrators.
- Du måste ha läsbehörighet till den delade mappen.
I Windows Server 2012 lägger funktionen Åtkomst nekad hjälp till gruppen Autentiserade användare i den lokala gruppen WinRMRemoteWMIUsers__. När funktionen Åtkomst nekad hjälp är aktiverad kan alla autentiserade användare som har läsbehörighet till filresursen visa filresursbehörigheterna.
Note
Med gruppen WinRMRemoteWMIUsers__ kan medlemmar fjärrköra Windows PowerShell-kommandon. Däremot använder du vanligtvis gruppen Fjärrhanteringsanvändare för att tillåta användare att hantera servrar med hjälp av Serverhanteraren-konsolen.
| Attribute | Value |
|---|---|
| Välkänd SID/RID | S-1-5-21-<domän>-<variabel RID> |
| Type | Domänlokal |
| Förvald container | CN=Users, DC=<domain>, DC= |
| Standardmedlemmar | None |
| Standardmedlem av | None |
| Skyddas av AdminSDHolder? | No |
| Är det säkert att flytta ut från standardcontainern? | Yes |
| Är det säkert att delegera hanteringen av den här gruppen till administratörer som inte är tjänstadministratörer? | |
| Standardanvändarrättigheter | None |
Relaterat innehåll
- Säkerhetsprincipaler
- Särskilda identitetsgrupper
- översikt över åtkomstkontroll