Groupes de sécurité Active Directory | Microsoft Docs – Serveur d’impression
<! –
S'applique à: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
Cette rubrique de référence destinée aux professionnels de l'informatique décrit les groupes de sécurité Active Directory par défaut.
Il existe deux types d'entités de sécurité communes dans Active Directory: les comptes d'utilisateur et les comptes d'ordinateur. Ces comptes représentent une entité physique (une personne ou un ordinateur). Les comptes d'utilisateur peuvent également être utilisés en tant que comptes de service dédiés pour certaines applications. Les groupes de sécurité sont utilisés pour collecter les comptes d'utilisateurs, les comptes d'ordinateurs et d'autres groupes dans des unités gérables.
Dans le système d'exploitation Windows Server, plusieurs comptes intégrés et groupes de sécurité sont préconfigurés avec les droits et autorisations appropriés pour effectuer des tâches spécifiques. Pour Active Directory, il existe deux types de responsabilités administratives:
-
Administrateurs de service Responsable de la maintenance et de la fourniture des services de domaine Active Directory (AD DS), y compris la gestion des contrôleurs de domaine et la configuration des services AD DS.
-
Administrateurs de données Responsable de la maintenance des données stockées dans AD DS et sur les serveurs et stations de travail membres du domaine.
À propos des groupes Active Directory
Les groupes sont utilisés pour regrouper les comptes d'utilisateurs, les comptes d'ordinateurs et d'autres groupes en unités gérables. Travailler avec des groupes plutôt qu'avec des utilisateurs individuels permet de simplifier la maintenance et l'administration du réseau.
Il existe deux types de groupes dans Active Directory:
Groupes de distribution
Les groupes de distribution ne peuvent être utilisés qu'avec des applications de messagerie (telles qu'Exchange Server) pour envoyer des messages électroniques à des ensembles d'utilisateurs. Les groupes de distribution ne sont pas activés pour la sécurité, ce qui signifie qu'ils ne peuvent pas être répertoriés dans les listes de contrôle d'accès discrétionnaire (DACL).
Groupes de sécurité
Les groupes de sécurité peuvent constituer un moyen efficace d'attribuer l'accès aux ressources de votre réseau. En utilisant des groupes de sécurité, vous pouvez:
-
Attribuez des droits d'utilisateur aux groupes de sécurité dans Active Directory.
Les droits d'utilisateur sont attribués à un groupe de sécurité pour déterminer ce que les membres de ce groupe peuvent faire dans le cadre d'un domaine ou d'une forêt. Les droits d’utilisateur sont automatiquement attribués à certains groupes de sécurité lors de l’installation d’Active Directory afin d’aider les administrateurs à définir le rôle administratif d’une personne dans le domaine.
Par exemple, un utilisateur ajouté au groupe Opérateurs de sauvegarde dans Active Directory peut sauvegarder et restaurer des fichiers et des répertoires situés sur chaque contrôleur de domaine du domaine. Cela est possible car, par défaut, les droits de l'utilisateur Fichiers et répertoires de sauvegarde et Restaurer des fichiers et des répertoires sont automatiquement affectés au groupe Opérateurs de sauvegarde. Par conséquent, les membres de ce groupe héritent des droits d'utilisateur attribués à ce groupe.
Vous pouvez utiliser la stratégie de groupe pour attribuer des droits d’utilisateur aux groupes de sécurité afin de déléguer des tâches spécifiques. Pour plus d'informations sur l'utilisation de la stratégie de groupe, voir Attribution des droits de l'utilisateur.
-
Attribuez des autorisations aux groupes de sécurité pour les ressources.
Les autorisations sont différentes des droits d'utilisateur. Des autorisations sont attribuées au groupe de sécurité pour la ressource partagée. Les autorisations déterminent qui peut accéder à la ressource et le niveau d'accès, tel que Contrôle total. Certaines autorisations définies sur les objets de domaine sont automatiquement attribuées pour permettre différents niveaux d'accès aux groupes de sécurité par défaut, tels que le groupe Opérateurs de compte ou le groupe Administrateurs de domaine.
Les groupes de sécurité sont répertoriés dans les listes DACL qui définissent les autorisations sur les ressources et les objets. Lors de l'attribution d'autorisations pour des ressources (partages de fichiers, imprimantes, etc.), les administrateurs doivent attribuer ces autorisations à un groupe de sécurité plutôt qu'à des utilisateurs individuels. Les autorisations sont attribuées une fois au groupe, au lieu de plusieurs fois à chaque utilisateur. Chaque compte ajouté à un groupe reçoit les droits attribués à ce groupe dans Active Directory et l'utilisateur reçoit les autorisations définies pour ce groupe.
Comme les groupes de distribution, les groupes de sécurité peuvent être utilisés comme une entité de messagerie. L'envoi d'un message électronique au groupe l'envoie à tous les membres du groupe.
Portée du groupe
Les groupes sont caractérisés par une étendue qui identifie le degré d'application du groupe dans l'arborescence ou la forêt du domaine. L'étendue du groupe définit les endroits où des autorisations peuvent être accordées au groupe. Les trois portées de groupe suivantes sont définies par Active Directory:
-
Universel
-
Global
-
Domaine Local
Remarque
En plus de ces trois portées, les groupes par défaut de la Intégré conteneur ont une portée de groupe de Builtin Local. Cette étendue et ce type de groupe ne peuvent pas être modifiés.
Le tableau suivant répertorie les trois étendues de groupe et donne plus d'informations sur chaque étendue d'un groupe de sécurité.
Portées du groupe
Portée |
Membres possibles |
Conversion de portée |
Peut accorder des autorisations |
Membre possible de |
---|---|---|---|---|
Universel |
Comptes de n'importe quel domaine de la même forêt Groupes globaux de n'importe quel domaine de la même forêt Autres groupes universels de n'importe quel domaine de la même forêt |
Peut être converti en étendue de domaine local Peut être converti en étendue globale si le groupe ne contient aucun autre groupe universel |
Sur n'importe quel domaine de la même forêt ou forêts de confiance |
Autres groupes universels dans la même forêt Domaine Groupes locaux dans la même forêt ou forêts de confiance Groupes locaux sur des ordinateurs de la même forêt ou de forêts en confiance |
Global |
Comptes du même domaine Autres groupes globaux du même domaine |
Peut être converti en étendue universelle si le groupe n'est membre d'aucun autre groupe global |
Sur n'importe quel domaine de la même forêt, ou sur des domaines ou forêts de confiance |
Groupes universels de n'importe quel domaine de la même forêt Autres groupes globaux du même domaine Domaine Groupes locaux de n'importe quel domaine de la même forêt ou de tout domaine de confiance |
Domaine Local |
Comptes de n'importe quel domaine ou domaine approuvé Groupes globaux de tout domaine ou de tout domaine approuvé Groupes universels de n'importe quel domaine de la même forêt Autres groupes de domaines locaux du même domaine Comptes, groupes globaux et groupes universels d'autres forêts et de domaines externes |
Peut être converti en étendue universelle si le groupe ne contient aucun autre groupe de domaine local |
Dans le même domaine |
Autres groupes de domaines locaux du même domaine Groupes locaux sur des ordinateurs du même domaine, à l'exclusion des groupes intégrés qui ont des SID connus |
Groupes d'identité spéciaux
Les identités spéciales sont généralement appelées groupes. Les groupes d'identité spéciaux n'ont pas d'adhésion spécifique pouvant être modifiée, mais ils peuvent représenter différents utilisateurs à des moments différents, en fonction des circonstances. Certains de ces groupes comprennent le créateur du propriétaire, le traitement par lots et l'utilisateur authentifié.
Pour plus d'informations sur tous les groupes d'identité spéciaux, voir Identités spéciales.
Groupes de sécurité par défaut
Les groupes par défaut, tels que le groupe Admins du domaine, sont des groupes de sécurité créés automatiquement lorsque vous créez un domaine Active Directory. Vous pouvez utiliser ces groupes prédéfinis pour contrôler l’accès aux ressources partagées et pour déléguer des rôles administratifs spécifiques à l’ensemble du domaine.
De nombreux groupes par défaut se voient automatiquement attribuer un ensemble de droits d’utilisateur qui autorisent les membres du groupe à effectuer des actions spécifiques dans un domaine, telles que la connexion à un système local ou la sauvegarde de fichiers et de dossiers. Par exemple, un membre du groupe Opérateurs de sauvegarde a le droit d'effectuer des opérations de sauvegarde pour tous les contrôleurs de domaine du domaine.
Lorsque vous ajoutez un utilisateur à un groupe, il reçoit tous les droits d'utilisateur attribués au groupe et toutes les autorisations attribuées au groupe pour les ressources partagées.
Les groupes par défaut sont situés dans le Intégré conteneur et dans le Utilisateurs conteneur dans Utilisateurs et ordinateurs Active Directory. le Intégré Le conteneur inclut les groupes définis avec la portée du domaine local. le Utilisateurs includes contient des groupes définis avec une portée globale et des groupes définis avec une portée de domaine local. Vous pouvez déplacer des groupes situés dans ces conteneurs vers d'autres groupes ou unités organisationnelles du domaine, mais vous ne pouvez pas les déplacer vers d'autres domaines.
Certains des groupes administratifs répertoriés dans cette rubrique et tous les membres de ces groupes sont protégés par un processus d'arrière-plan qui vérifie et applique périodiquement un descripteur de sécurité spécifique. Ce descripteur est une structure de données contenant des informations de sécurité associées à un objet protégé. Ce processus garantit que toute tentative non autorisée réussie de modification du descripteur de sécurité sur l'un des comptes d'administration ou des groupes sera remplacée par les paramètres protégés.
Le descripteur de sécurité est présent sur le AdminSDHolder objet. Cela signifie que si vous souhaitez modifier les autorisations sur l'un des groupes d'administrateurs de service ou sur l'un de ses comptes membres, vous devez modifier le descripteur de sécurité sur le serveur. AdminSDHolder objet afin qu'il soit appliqué de manière cohérente. Faites attention lorsque vous apportez ces modifications car vous modifiez également les paramètres par défaut qui seront appliqués à tous vos comptes administratifs protégés.
Groupes de sécurité par défaut Active Directory par version du système d'exploitation
Les tableaux suivants décrivent les groupes par défaut situés dans le répertoire. Intégré et Utilisateurs conteneurs dans chaque système d'exploitation.
Opérateurs d'assistance au contrôle d'accès
Les membres de ce groupe peuvent interroger à distance les attributs d'autorisation et les autorisations d'accès aux ressources de l'ordinateur.
Le groupe Opérateurs d'assistance au contrôle d'accès s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-32-579 |
Type |
BuiltIn Local |
Conteneur par défaut |
CN = BuiltIn, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
Opérateurs de compte
Le groupe Opérateurs de compte accorde des privilèges de création de compte limités à un utilisateur. Les membres de ce groupe peuvent créer et modifier la plupart des types de comptes, y compris ceux des utilisateurs, des groupes locaux et des groupes globaux, et les membres peuvent se connecter localement aux contrôleurs de domaine.
Les membres du groupe Opérateurs de compte ne peuvent pas gérer le compte d'utilisateur Administrateur, les comptes d'utilisateur d'administrateurs, ni les groupes Administrateurs, Opérateurs de serveur, Opérateurs de compte, Opérateurs de sauvegarde ou Opérateurs d'impression. Les membres de ce groupe ne peuvent pas modifier les droits des utilisateurs.
Le groupe Opérateurs de compte s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Remarque
Par défaut, ce groupe intégré n'a aucun membre et il peut créer et gérer des utilisateurs et des groupes du domaine, y compris son propre appartenance et celui du groupe Opérateurs de serveur. Ce groupe est considéré comme un groupe d'administrateurs de service car il peut modifier les opérateurs de serveur, ce qui peut également modifier les paramètres du contrôleur de domaine. Il est recommandé de laisser les membres de ce groupe vides et de ne pas les utiliser pour une administration déléguée. Ce groupe ne peut pas être renommé, supprimé ou déplacé.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-32-548 |
Type |
BuiltIn Local |
Conteneur par défaut |
CN = BuiltIn, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Oui |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
Non |
Droits d'utilisateur par défaut |
Autoriser la connexion localement: SeInteractiveLogonRight |
Administrateurs
Les membres du groupe Administrateurs ont un accès complet et illimité à l'ordinateur ou, si l'ordinateur est promu contrôleur de domaine, les membres disposent d'un accès illimité au domaine.
Le groupe Administrateurs s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Remarque
Le groupe Administrateurs dispose de fonctionnalités intégrées qui donnent à ses membres un contrôle total sur le système. Ce groupe ne peut pas être renommé, supprimé ou déplacé. Ce groupe intégré contrôle l'accès à tous les contrôleurs de domaine de son domaine et peut modifier l'appartenance à tous les groupes administratifs.
L'appartenance peut être modifiée par les membres des groupes suivants: les administrateurs de service par défaut, les administrateurs de domaine du domaine ou les administrateurs d'entreprise. Ce groupe dispose du privilège spécial de s'approprier tout objet de l'annuaire ou toute ressource d'un contrôleur de domaine. Ce compte est considéré comme un groupe d'administrateurs de service car ses membres disposent d'un accès complet aux contrôleurs de domaine du domaine.
Ce groupe de sécurité inclut les modifications suivantes depuis Windows Server 2008:
Groupe de réplication de mot de passe RODC autorisé
Ce groupe de sécurité a pour objectif de gérer une stratégie de réplication de mot de passe RODC. Ce groupe n'a aucun membre par défaut et il en résulte que les nouveaux contrôleurs de domaine en lecture seule ne mettent pas en cache les informations d'identification de l'utilisateur. Le groupe de groupes de réplication de mots de passe RODC refusé contient une variété de comptes à privilèges élevés et de groupes de sécurité. Le groupe de réplication de mot de passe RODC refusé remplace le groupe de réplication de mot de passe RODC autorisé.
Le groupe de réplication de mot de passe RODC autorisé s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-21- |
Type |
Domaine local |
Conteneur par défaut |
CN = Utilisateurs DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
Opérateurs de sauvegarde
Les membres du groupe Opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers sur un ordinateur, quelles que soient les autorisations qui protègent ces fichiers. Les opérateurs de sauvegarde peuvent également se connecter et éteindre l'ordinateur. Ce groupe ne peut pas être renommé, supprimé ou déplacé. Par défaut, ce groupe intégré ne comporte aucun membre et peut effectuer des opérations de sauvegarde et de restauration sur les contrôleurs de domaine. Son appartenance peut être modifiée par les groupes suivants: administrateurs de service par défaut, administrateurs de domaine du domaine ou administrateurs d'entreprise. Il ne peut modifier l’appartenance à aucun groupe administratif. Bien que les membres de ce groupe ne puissent pas modifier les paramètres du serveur ou la configuration du répertoire, ils disposent des autorisations nécessaires pour remplacer les fichiers (y compris les fichiers du système d'exploitation) sur les contrôleurs de domaine. Pour cette raison, les membres de ce groupe sont considérés comme des administrateurs de service.
Le groupe Opérateurs de sauvegarde s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Les membres de ce groupe sont autorisés à se connecter aux autorités de certification de l'entreprise.
Le groupe d'accès DCOM du service de certificats s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-32- |
Type |
Domaine Local |
Conteneur par défaut |
CN = Builtin, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
Cert Publishers
Les membres du groupe Cert Publishers sont autorisés à publier des certificats pour les objets Utilisateur dans Active Directory.
Le groupe Cert Publishers s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5- |
Type |
Domaine Local |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Groupe de réplication de mot de passe RODC refusé |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
Non |
Droits d'utilisateur par défaut |
Aucun |
Contrôleurs de domaine clonables
Les membres du groupe de contrôleurs de domaine clonables qui sont des contrôleurs de domaine peuvent être clonés. Dans Windows Server 2012 R2 et Windows Server 2012, vous pouvez déployer des contrôleurs de domaine en copiant un contrôleur de domaine virtuel existant. Dans un environnement virtuel, il n'est plus nécessaire de déployer de manière répétée une image de serveur préparée à l'aide de sysprep.exe, de promouvoir le serveur en contrôleur de domaine, puis de définir des conditions de configuration supplémentaires pour le déploiement de chaque contrôleur de domaine (y compris l'ajout du contrôleur de domaine virtuel). à ce groupe de sécurité).
Pour plus d'informations, voir Introduction à la virtualisation des services de domaine Active Directory (AD DS) (niveau 100).
Ce groupe de sécurité a été introduit dans Windows Server 2012 et n'a pas changé dans les versions ultérieures.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-21- |
Type |
Global |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
Opérateurs cryptographiques
Les membres de ce groupe sont autorisés à effectuer des opérations cryptographiques. Ce groupe de sécurité a été ajouté à Windows Vista Service Pack 1 (SP1) pour configurer le Pare-feu Windows pour IPsec en mode Critères communs.
Le groupe d'opérateurs de chiffrement s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité a été introduit dans Windows Vista Service Pack 1 et n'a pas changé dans les versions ultérieures.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-32-569 |
Type |
Local intégré |
Conteneur par défaut |
CN = Builtin, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
Groupe de réplication de mot de passe RODC refusé
Les membres du groupe de réplication de mot de passe RODC refusé ne peuvent pas avoir leurs mots de passe répliqués sur un contrôleur de domaine en lecture seule.
Ce groupe de sécurité a pour objectif de gérer une stratégie de réplication de mot de passe RODC. Ce groupe contient divers comptes à privilèges élevés et groupes de sécurité. Le groupe de réplication de mot de passe RODC refusé remplace le groupe de réplication de mot de passe RODC autorisé.
Ce groupe de sécurité inclut les modifications suivantes depuis Windows Server 2008:
- Windows Server 2012 a modifié les membres par défaut pour inclure les éditeurs de certificats.
Les membres du groupe Utilisateurs COM distribués sont autorisés à lancer, activer et utiliser des objets COM distribués sur l'ordinateur. Le modèle COM (Microsoft Component Object Model) est un système orienté objet, distribué et indépendant de la plate-forme, permettant de créer des composants logiciels binaires pouvant interagir. Le modèle DCOM (Distributed Component Object Model) permet aux applications d'être réparties entre des emplacements qui ont le plus de sens pour vous et pour l'application. Ce groupe apparaît en tant que SID jusqu'à ce que le contrôleur de domaine devienne le contrôleur de domaine principal et qu'il conserve le rôle de maître d'opérations (également appelé opérations à maître unique flexible ou FSMO).
Le groupe Utilisateurs COM distribués s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-32-562 |
Type |
Local intégré |
Conteneur par défaut |
CN = Builtin, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
DnsUpdateProxy
Les membres du groupe DnsUpdateProxy sont des clients DNS. Ils sont autorisés à effectuer des mises à jour dynamiques pour le compte d'autres clients (tels que les serveurs DHCP). Un serveur DNS peut développer des enregistrements de ressources périmés lorsqu'un serveur DHCP est configuré pour enregistrer de manière dynamique des enregistrements de ressources d'hôtes (A) et de pointeurs (PTR) pour le compte de clients DHCP à l'aide de la mise à jour dynamique. L'ajout de clients à ce groupe de sécurité atténue ce scénario.
Toutefois, pour vous protéger contre les enregistrements non sécurisés ou pour permettre aux membres du groupe DnsUpdateProxy d'enregistrer des enregistrements dans des zones n'autorisant que les mises à jour dynamiques sécurisées, vous devez créer un compte utilisateur dédié et configurer les serveurs DHCP pour qu'ils effectuent des mises à jour dynamiques DNS à l'aide des informations d'identification de ce compte. (nom d'utilisateur, mot de passe et domaine). Plusieurs serveurs DHCP peuvent utiliser les informations d'identification d'un compte utilisateur dédié.
Pour plus d'informations, voir Propriété d'enregistrement DNS et le groupe DnsUpdateProxy.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-21- |
Type |
Global |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Oui |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
DnsAdmins
Les membres du groupe DNSAdmins ont accès aux informations DNS du réseau. Les autorisations par défaut sont les suivantes: Autoriser: Lecture, Écriture, Créer tous les objets enfant, Supprimer les objets enfant, Autorisations spéciales.
Pour plus d'informations sur les autres moyens de sécuriser le service de serveur DNS, voir Sécurisation du service de serveur DNS.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-21- |
Type |
Domaine local |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Oui |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
Admins du domaine
Les membres du groupe de sécurité Domain Admins sont autorisés à administrer le domaine. Par défaut, le groupe Admins du domaine est membre du groupe Administrateurs sur tous les ordinateurs ayant rejoint un domaine, y compris les contrôleurs de domaine. Le groupe Admins du domaine est le propriétaire par défaut de tout objet créé dans Active Directory pour le domaine par un membre du groupe. Si les membres du groupe créent d'autres objets, tels que des fichiers, le propriétaire par défaut est le groupe Administrateurs.
Le groupe Admins du domaine contrôle l'accès à tous les contrôleurs de domaine d'un domaine et peut modifier l'appartenance à tous les comptes administratifs du domaine. L'appartenance peut être modifiée par les membres des groupes d'administrateurs de services de son domaine (administrateurs et administrateurs de domaine) et par les membres du groupe Administrateurs de l'entreprise. Ceci est considéré comme un compte d'administrateur de service car ses membres ont un accès complet aux contrôleurs de domaine d'un domaine.
Le groupe Admins du domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Domaine informatique
Ce groupe peut inclure tous les ordinateurs et serveurs ayant rejoint le domaine, à l'exception des contrôleurs de domaine. Par défaut, tout compte d'ordinateur créé automatiquement devient membre de ce groupe.
Le groupe Ordinateurs du domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory, par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5- |
Type |
Global |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Tous les ordinateurs joints au domaine, à l'exception des contrôleurs de domaine |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Oui (mais pas obligatoire) |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
Oui |
Droits d'utilisateur par défaut |
Aucun |
Contrôleurs de domaine
Le groupe de contrôleurs de domaine peut inclure tous les contrôleurs de domaine du domaine. Les nouveaux contrôleurs de domaine sont automatiquement ajoutés à ce groupe.
Le groupe de contrôleurs de domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5- |
Type |
Global |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Comptes d'ordinateur pour tous les contrôleurs de domaine du domaine |
Membre par défaut de |
Groupe de réplication de mot de passe RODC refusé |
Protégé par ADMINSDHOLDER? |
Oui |
Coffre-fort pour sortir du conteneur par défaut? |
Non |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
Non |
Droits d'utilisateur par défaut |
Aucun |
Invités du domaine
Le groupe Invités du domaine comprend le compte invité intégré au domaine. Lorsque les membres de ce groupe se connectent en tant qu'invités locaux sur un ordinateur joint à un domaine, un profil de domaine est créé sur l'ordinateur local.
Le groupe Invités du domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5- |
Type |
Global |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Client |
Membre par défaut de |
Invités |
Protégé par ADMINSDHOLDER? |
Oui |
Coffre-fort pour sortir du conteneur par défaut? |
Peut être retiré mais ce n'est pas recommandé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
Non |
Droits d'utilisateur par défaut |
Voir les invités |
Utilisateurs du domaine
Le groupe Utilisateurs du domaine comprend tous les comptes d'utilisateur d'un domaine. Lorsque vous créez un compte d'utilisateur dans un domaine, il est automatiquement ajouté à ce groupe.
Par défaut, tout compte d'utilisateur créé dans le domaine devient automatiquement membre de ce groupe. Ce groupe peut être utilisé pour représenter tous les utilisateurs du domaine. Par exemple, si vous souhaitez que tous les utilisateurs du domaine aient accès à une imprimante, vous pouvez attribuer des autorisations pour l'imprimante à ce groupe (ou ajouter le groupe Utilisateurs du domaine à un groupe local du serveur d'impression disposant d'autorisations pour l'imprimante).
Le groupe Utilisateurs du domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5- |
Type |
Domaine Global |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Administrateur krbtgt |
Membre par défaut de |
Utilisateurs |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Oui |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
Non |
Droits d'utilisateur par défaut |
Voir les utilisateurs |
Administrateurs d'entreprise
Le groupe Administrateurs d'entreprise n'existe que dans le domaine racine d'une forêt de domaines Active Directory. C'est un groupe universel si le domaine est en mode natif; c'est un groupe global si le domaine est en mode mixte. Les membres de ce groupe sont autorisés à apporter des modifications à l'échelle de la forêt dans Active Directory, telles que l'ajout de domaines enfants.
Par défaut, le seul membre du groupe est le compte administrateur du domaine racine de la forêt. Ce groupe est automatiquement ajouté au groupe Administrateurs de chaque domaine de la forêt et fournit un accès complet à la configuration de tous les contrôleurs de domaine. Les membres de ce groupe peuvent modifier la composition de tous les groupes administratifs. L'appartenance ne peut être modifiée que par les groupes d'administrateurs de service par défaut du domaine racine. Ceci est considéré comme un compte d'administrateur de service.
Le groupe Administrateurs de l'entreprise s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Contrôleurs de domaine d'entreprise en lecture seule
Les membres de ce groupe sont des contrôleurs de domaine en lecture seule dans l'entreprise. À l'exception des mots de passe de compte, un contrôleur de domaine en lecture seule contient tous les objets et attributs Active Directory détenus par un contrôleur de domaine accessible en écriture. Toutefois, aucune modification ne peut être apportée à la base de données stockée sur le contrôleur de domaine en lecture seule. Les modifications doivent être effectuées sur un contrôleur de domaine accessible en écriture, puis répliquées sur le contrôleur de domaine en lecture seule.
Les contrôleurs de domaine en lecture seule résolvent certains des problèmes courants dans les succursales. Ces emplacements peuvent ne pas avoir de contrôleur de domaine. Ils peuvent également avoir un contrôleur de domaine accessible en écriture, mais pas la sécurité physique, la bande passante du réseau ou les compétences locales pour le prendre en charge.
Pour plus d'informations, voir AD DS: Contrôleurs de domaine en lecture seule.
Le groupe de contrôleurs de domaine d'entreprise en lecture seule s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-21- |
Type |
Universel |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Oui |
Coffre-fort pour sortir du conteneur par défaut? |
|
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
Lecteurs de journaux d'événements
Les membres de ce groupe peuvent lire les journaux d'événements à partir d'ordinateurs locaux. Le groupe est créé lorsque le serveur est promu en tant que contrôleur de domaine.
Le groupe Lecteurs de journaux d'événements s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5-32-573 |
Type |
Local intégré |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Aucun |
Membre par défaut de |
Aucun |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Ne peut pas être déplacé |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
|
Droits d'utilisateur par défaut |
Aucun |
Propriétaires de créateurs de règles de groupe
Ce groupe est autorisé à créer, modifier ou supprimer des objets de stratégie de groupe dans le domaine. Par défaut, l'administrateur est le seul membre du groupe.
Pour plus d'informations sur les autres fonctionnalités que vous pouvez utiliser avec ce groupe de sécurité, voir Guide de planification et de déploiement de la stratégie de groupe.
Le groupe Propriétaires créateurs de stratégie de groupe s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.
Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.
Attribut |
Valeur |
---|---|
SID / RID bien connu |
S-1-5- |
Type |
Global |
Conteneur par défaut |
CN = Utilisateurs, DC = |
Membres par défaut |
Administrateur |
Membre par défaut de |
Groupe de réplication de mot de passe RODC refusé |
Protégé par ADMINSDHOLDER? |
Non |
Coffre-fort pour sortir du conteneur par défaut? |
Non |
Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service? |
Non |
Droits d'utilisateur par défaut |
Voir Groupe de réplication de mot de passe RODC refusé. |
Invités
Les membres du groupe Invités ont le même accès que les membres du groupe Utilisateurs par défaut, sauf que le compte Invité a d'autres restrictions. Par défaut, le seul membre est le compte Invité. Le groupe Invités permet aux utilisateurs occasionnels ou occasionnels de se connecter avec des privilèges limités au compte Invité intégré d'un ordinateur.
Lorsqu'un membre du groupe Invités se déconnecte, l'intégralité du profil est supprimée. Ceci inclut tout ce qui est stocké dans le %profil de l'utilisateur% répertoire, y compris les informations sur la ruche de registre de l'utilisateur, les icônes de bureau personnalisées et d'autres paramètres spécifiques à l'utilisateur. Cela implique qu'un invité doit utiliser un profil temporaire pour se connecter au système. Ce groupe de sécurité interagit avec le paramètre de stratégie de groupe Ne pas connecter les utilisateurs avec des profils temporaires quand il est activé. Ce paramètre est situé sous le chemin suivant:
Configuration de l'ordinateur Modèles d'administration Système Profils utilisateur
Remarque
A Guest account is a default member of the Guests security group. People who do not have an actual account in the domain can use the Guest account. A user whose account is disabled (but not deleted) can also use the Guest account.
The Guest account does not require a password. You can set rights and permissions for the Guest account as in any user account. By default, the Guest account is a member of the built-in Guests group and the Domain Guests global group, which allows a user to sign in to a domain. The Guest account is disabled by default, and we recommend that it stay disabled.
The Guests group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-546 |
Type |
Builtin Local |
Default container |
CN=BuiltIn, DC= |
Default members |
Guest |
Default member of |
Domain Guests Guest |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Non |
Default User Rights |
Aucun |
Hyper-V Administrators
Members of the Hyper-V Administrators group have complete and unrestricted access to all the features in Hyper-V. Adding members to this group helps reduce the number of members required in the Administrators group, and further separates access.
Remarque
Prior to Windows Server 2012, access to features in Hyper-V was controlled in part by membership in the Administrators group.
This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-578 |
Type |
Builtin local |
Default container |
CN=BuiltIn, DC= |
Default members |
Aucun |
Default member of |
Non |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
Aucun |
IIS_IUSRS
IIS_IUSRS is a built-in group that is used by Internet Information Services beginning with IIS 7.0. A built-in account and group are guaranteed by the operating system to always have a unique SID. IIS 7.0 replaces the IUSR_MachineName account and the IIS_WPG group with the IIS_IUSRS group to ensure that the actual names that are used by the new account and group will never be localized. For example, regardless of the language of the Windows operating system that you install, the IIS account name will always be IUSR, and the group name will be IIS_IUSRS.
For more information, see Understanding Built-In User and Group Accounts in IIS 7.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-568 |
Type |
BuiltIn Local |
Default container |
CN=BuiltIn, DC= |
Default members |
IUSR |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
|
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
Aucun |
Incoming Forest Trust Builders
Members of the Incoming Forest Trust Builders group can create incoming, one-way trusts to this forest. Active Directory provides security across multiple domains or forests through domain and forest trust relationships. Before authentication can occur across trusts, Windows must determine whether the domain being requested by a user, computer, or service has a trust relationship with the logon domain of the requesting account.
To make this determination, the Windows security system computes a trust path between the domain controller for the server that receives the request and a domain controller in the domain of the requesting account. A secured channel extends to other Active Directory domains through interdomain trust relationships. This secured channel is used to obtain and verify security information, including security identifiers (SIDs) for users and groups.
Remarque
This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).
For more information, see How Domain and Forest Trusts Work: Domain and Forest Trusts.
The Incoming Forest Trust Builders group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
Remarque
This group cannot be renamed, deleted, or moved.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-557 |
Type |
BuiltIn local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Non |
Default User Rights |
Aucun |
Network Configuration Operators
Members of the Network Configuration Operators group can have the following administrative privileges to manage configuration of networking features:
-
Modify the Transmission Control Protocol/Internet Protocol (TCP/IP) properties for a local area network (LAN) connection, which includes the IP address, the subnet mask, the default gateway, and the name servers.
-
Rename the LAN connections or remote access connections that are available to all the users.
-
Enable or disable a LAN connection.
-
Modify the properties of all of remote access connections of users.
-
Delete all the remote access connections of users.
-
Rename all the remote access connections of users.
-
Issue ipconfig, ipconfig /release, or ipconfig /renew commands.
-
Enter the PIN unblock key (PUK) for mobile broadband devices that support a SIM card.
Remarque
This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).
The Network Configuration Operators group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
Remarque
This group cannot be renamed, deleted, or moved.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-556 |
Type |
BuiltIn local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Oui |
Default User Rights |
Aucun |
Performance Log Users
Members of the Performance Log Users group can manage performance counters, logs, and alerts locally on the server and from remote clients without being a member of the Administrators group. Specifically, members of this security group:
-
Can use all the features that are available to the Performance Monitor Users group.
-
Can create and modify Data Collector Sets after the group is assigned the Log on as a batch job user right.
Attention
If you are a member of the Performance Log Users group, you must configure Data Collector Sets that you create to run under your credentials.
-
Cannot use the Windows Kernel Trace event provider in Data Collector Sets.
For members of the Performance Log Users group to initiate data logging or modify Data Collector Sets, the group must first be assigned the Log on as a batch job user right. To assign this user right, use the Local Security Policy snap-in in Microsoft Management Console.
Remarque
This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).
The Performance Log Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
Remarque
This account cannot be renamed, deleted, or moved.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-559 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Oui |
Default User Rights |
Log on as a batch job: SeBatchLogonRight |
Performance Monitor Users
Members of this group can monitor performance counters on domain controllers in the domain, locally and from remote clients, without being a member of the Administrators or Performance Log Users groups. The Windows Performance Monitor is a Microsoft Management Console (MMC) snap-in that provides tools for analyzing system performance. From a single console, you can monitor application and hardware performance, customize what data you want to collect in logs, define thresholds for alerts and automatic actions, generate reports, and view past performance data in a variety of ways.
Specifically, members of this security group:
-
Can use all the features that are available to the Users group.
-
Can view real-time performance data in Performance Monitor.
Can change the Performance Monitor display properties while viewing data.
-
Cannot create or modify Data Collector Sets.
Attention
You cannot configure a Data Collector Set to run as a member of the Performance Monitor Users group.
Remarque
This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO). This group cannot be renamed, deleted, or moved.
The Performance Monitor Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-558 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Oui |
Default User Rights |
Aucun |
Pre–Windows 2000 Compatible Access
Members of the Pre–Windows 2000 Compatible Access group have Read access for all users and groups in the domain. This group is provided for backward compatibility for computers running Windows NT 4.0 and earlier. By default, the special identity group, Everyone, is a member of this group. Add users to this group only if they are running Windows NT 4.0 or earlier.
Attention
This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).
The Pre–Windows 2000 Compatible Access group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-554 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
If you choose the Pre–Windows 2000 Compatible Permissions mode, Everyone and Anonymous are members, and if you choose the Windows 2000-only permissions mode, Authenticated Users are members. |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Non |
Default User Rights |
Access this computer from the network: SeNetworkLogonRight Bypass traverse checking: SeChangeNotifyPrivilege |
Print Operators
Members of this group can manage, create, share, and delete printers that are connected to domain controllers in the domain. They can also manage Active Directory printer objects in the domain. Members of this group can locally sign in to and shut down domain controllers in the domain.
This group has no default members. Because members of this group can load and unload device drivers on all domain controllers in the domain, add users with caution. This group cannot be renamed, deleted, or moved.
The Print Operators group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group has not changed since Windows Server 2008. However, in Windows Server 2008 R2, functionality was added to manage print administration. For more information, see Assigning Delegated Print Administrator and Printer Permission Settings in Windows Server 2008 R2.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-550 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Oui |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Non |
Default User Rights |
Allow log on locally: SeInteractiveLogonRight Load and unload device drivers: SeLoadDriverPrivilege Shut down the system: SeShutdownPrivilege |
Protected Users
Members of the Protected Users group are afforded additional protection against the compromise of credentials during authentication processes.
This security group is designed as part of a strategy to effectively protect and manage credentials within the enterprise. Members of this group automatically have non-configurable protection applied to their accounts. Membership in the Protected Users group is meant to be restrictive and proactively secure by default. The only method to modify the protection for an account is to remove the account from the security group.
This domain-related, global group triggers non-configurable protection on devices and host computers running Windows Server 2012 R2 and Windows 8.1, and on domain controllers in domains with a primary domain controller running Windows Server 2012 R2. This greatly reduces the memory footprint of credentials when users sign in to computers on the network from a non-compromised computer.
Depending on the account’s domain functional level, members of the Protected Users group are further protected due to behavior changes in the authentication methods that are supported in Windows.
-
Members of the Protected Users group cannot authenticate by using the following Security Support Providers (SSPs): NTLM, Digest Authentication, or CredSSP. Passwords are not cached on a device running Windows 8.1, so the device fails to authenticate to a domain when the account is a member of the Protected User group.
-
The Kerberos protocol will not use the weaker DES or RC4 encryption types in the preauthentication process. This means that the domain must be configured to support at least the AES cipher suite.
-
The user’s account cannot be delegated with Kerberos constrained or unconstrained delegation. This means that former connections to other systems may fail if the user is a member of the Protected Users group.
-
The default Kerberos ticket-granting tickets (TGTs) lifetime setting of four hours is configurable by using Authentication Policies and Silos, which can be accessed through the Active Directory Administrative Center. This means that when four hours has passed, the user must authenticate again.
The Protected Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This group was introduced in Windows Server 2012 R2. For more information about how this group works, see Protected Users Security Group.
The following table specifies the properties of the Protected Users group.
Attribute |
Valeur |
---|---|
Well-known SID/RID |
S-1-5-21- |
Type |
Domain Global |
Default container |
CN=Users, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Oui |
Safe to delegate management of this group to non-service admins? |
Non |
Default user rights |
Aucun |
RAS and IAS Servers
Computers that are members of the RAS and IAS Servers group, when properly configured, are allowed to use remote access services. By default, this group has no members. Computers that are running the Routing and Remote Access service are added to the group automatically, such as IAS servers and Network Policy Servers. Members of this group have access to certain properties of User objects, such as Read Account Restrictions, Read Logon Information, and Read Remote Access Information.
The RAS and IAS Servers group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-21- |
Type |
Domain local |
Default container |
CN=Users, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Oui |
Safe to delegate management of this group to non-Service admins? |
Oui |
Default User Rights |
Aucun |
RDS Endpoint Servers
Servers that are members in the RDS Endpoint Servers group can run virtual machines and host sessions where user RemoteApp programs and personal virtual desktops run. This group needs to be populated on servers running RD Connection Broker. Session Host servers and RD Virtualization Host servers used in the deployment need to be in this group.
For information about Remote Desktop Services, see Remote Desktop Services Design Guide.
This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-21- |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
Aucun |
RDS Management Servers
Servers that are members in the RDS Management Servers group can be used to perform routine administrative actions on servers running Remote Desktop Services. This group needs to be populated on all servers in a Remote Desktop Services deployment. The servers running the RDS Central Management service must be included in this group.
This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-577 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
Aucun |
RDS Remote Access Servers
Servers in the RDS Remote Access Servers group provide users with access to RemoteApp programs and personal virtual desktops. In Internet facing deployments, these servers are typically deployed in an edge network. This group needs to be populated on servers running RD Connection Broker. RD Gateway servers and RD Web Access servers that are used in the deployment need to be in this group.
For information about RemoteApp programs, see Overview of RemoteApp
This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-575 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
Aucun |
Remote Desktop Users
The Remote Desktop Users group on an RD Session Host server is used to grant users and groups permissions to remotely connect to an RD Session Host server. This group cannot be renamed, deleted, or moved. It appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).
The Remote Desktop Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-555 |
Type |
Builtin Local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Oui |
Default User Rights |
Aucun |
Read-Only Domain Controllers
This group is comprised of the Read-only domain controllers in the domain. A Read-only domain controller makes it possible for organizations to easily deploy a domain controller in scenarios where physical security cannot be guaranteed, such as branch office locations, or in scenarios where local storage of all domain passwords is considered a primary threat, such as in an extranet or in an application-facing role.
Because administration of a Read-only domain controller can be delegated to a domain user or security group, an Read-only domain controller is well suited for a site that should not have a user who is a member of the Domain Admins group. A Read-only domain controller encompasses the following functionality:
-
Read-only AD DS database
-
Unidirectional replication
-
Credential caching
-
Administrator role separation
-
Read-only Domain Name System (DNS)
For information about deploying a Read-only domain controller, see Read-Only Domain Controllers Step-by-Step Guide.
This security group was introduced in Windows Server 2008, and it has not changed in subsequent versions.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-21- |
Type |
|
Default container |
CN=Users, DC= |
Default members |
Aucun |
Default member of |
Denied RODC Password Replication Group |
Protected by ADMINSDHOLDER? |
Oui |
Safe to move out of default container? |
Oui |
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
See Denied RODC Password Replication Group |
Remote Management Users
Members of the Remote Management Users group can access WMI resources over management protocols (such as WS-Management via the Windows Remote Management service). This applies only to WMI namespaces that grant access to the user.
The Remote Management Users group is generally used to allow users to manage servers through the Server Manager console, whereas the WinRMRemoteWMIUsers_ group is allows remotely running Windows PowerShell commands.
For more information, see WS-Management Protocol (Windows) and About WMI (Windows).
This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-580 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
Aucun |
Replicator
Computers that are members of the Replicator group support file replication in a domain. Windows Server operating systems use the File Replication service (FRS) to replicate system policies and logon scripts stored in the System Volume (SYSVOL). Each domain controller keeps a copy of SYSVOL for network clients to access. FRS can also replicate data for the Distributed File System (DFS), synchronizing the content of each member in a replica set as defined by DFS. FRS can copy and maintain shared files and folders on multiple servers simultaneously. When changes occur, content is synchronized immediately within sites and by a schedule between sites.
Important
In Windows Server 2008 R2, FRS cannot be used for replicating DFS folders or custom (non-SYSVOL) data. A Windows Server 2008 R2 domain controller can still use FRS to replicate the contents of a SYSVOL shared resource in a domain that uses FRS for replicating the SYSVOL shared resource between domain controllers.
However, Windows Server 2008 R2 servers cannot use FRS to replicate the contents of any replica set apart from the SYSVOL shared resource. The DFS Replication service is a replacement for FRS, and it can be used to replicate the contents of a SYSVOL shared resource, DFS folders, and other custom (non-SYSVOL) data. You should migrate all non-SYSVOL FRS replica sets to DFS Replication. For more information, see File Replication Service (FRS) Is Deprecated in Windows Server 2008 R2 (Windows).
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-552 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Oui |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
Aucun |
Schema Admins
Members of the Schema Admins group can modify the Active Directory schema. This group exists only in the root domain of an Active Directory forest of domains. It is a Universal group if the domain is in native mode; it is a Global group if the domain is in mixed mode.
The group is authorized to make schema changes in Active Directory. By default, the only member of the group is the Administrator account for the forest root domain. This group has full administrative access to the schema.
The membership of this group can be modified by any of the service administrator groups in the root domain. This is considered a service administrator account because its members can modify the schema, which governs the structure and content of the entire directory.
For more information, see What Is the Active Directory Schema?: Active Directory.
The Schema Admins group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5- |
Type |
Universal (if Domain is in Native-Mode) else Global |
Default container |
CN=Users, DC= |
Default members |
Administrateur |
Default member of |
Denied RODC Password Replication Group |
Protected by ADMINSDHOLDER? |
Oui |
Safe to move out of default container? |
Oui |
Safe to delegate management of this group to non-Service admins? |
Non |
Default User Rights |
See Denied RODC Password Replication Group |
Server Operators
Members in the Server Operators group can administer domain servers. This group exists only on domain controllers. By default, the group has no members. Memebers of the Server Operators group can sign in to a server interactively, create and delete network shared resources, start and stop services, back up and restore files, format the hard disk drive of the computer, and shut down the computer. This group cannot be renamed, deleted, or moved.
By default, this built-in group has no members, and it has access to server configuration options on domain controllers. Its membership is controlled by the service administrator groups, Administrators and Domain Admins, in the domain, and the Enterprise Admins group. Members in this group cannot change any administrative group memberships. This is considered a service administrator account because its members have physical access to domain controllers, they can perform maintenance tasks (such as backup and restore), and they have the ability to change binaries that are installed on the domain controllers. Note the default user rights in the following table.
The Server Operators group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group has not changed since Windows Server 2008.
Terminal Server License Servers
Members of the Terminal Server License Servers group can update user accounts in Active Directory with information about license issuance. This is used to track and report TS Per User CAL usage. A TS Per User CAL gives one user the right to access a Terminal Server from an unlimited number of client computers or devices. This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).
For more information about this security group, see Terminal Services License Server Security Group Configuration.
The Terminal Server License Servers group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
Remarque
This group cannot be renamed, deleted, or moved.
This security group only applies to Windows Server 2003 and Windows Server 2008 because Terminal Services was replaced by Remote Desktop Services in Windows Server 2008 R2.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-561 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Safe to move out of default container? |
Cannot be moved |
Protected by ADMINSDHOLDER? |
Non |
Safe to delegate management of this group to non-Service admins? |
Oui |
Default User Rights |
Aucun |
Users
Members of the Users group are prevented from making accidental or intentional system-wide changes, and they can run most applications. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer.
Users can perform tasks such as running applications, using local and network printers, shutting down the computer, and locking the computer. Users can install applications that only they are allowed to use if the installation program of the application supports per-user installation. This group cannot be renamed, deleted, or moved.
The Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
This security group includes the following changes since Windows Server 2008:
-
In Windows Server 2008 R2, INTERACTIVE was added to the default members list.
-
In Windows Server 2012, the default Member Of list changed from Domain Users to none.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-545 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Authenticated Users Domain Users INTERACTIVE |
Default member of |
Domain Users (this membership is due to the fact that the Primary Group ID of all user accounts is Domain Users.) |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Non |
Default User Rights |
Aucun |
Windows Authorization Access Group
Members of this group have access to the computed token GroupsGlobalAndUniversal attribute on User objects. Some applications have features that read the token-groups-global-and-universal (TGGAU) attribute on user account objects or on computer account objects in Active Directory Domain Services. Some Win32 functions make it easier to read the TGGAU attribute. Applications that read this attribute or that call an API (referred to as a function) that reads this attribute do not succeed if the calling security context does not have access to the attribute. This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).
The Windows Authorization Access group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
Remarque
This group cannot be renamed, deleted, or moved.
This security group has not changed since Windows Server 2008.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-32-560 |
Type |
Builtin local |
Default container |
CN=Builtin, DC= |
Default members |
Enterprise Domain Controllers |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Cannot be moved |
Safe to delegate management of this group to non-Service admins? |
Oui |
Default user rights |
Aucun |
WinRMRemoteWMIUsers_
In Windows 8 and in Windows Server 2012, a Partager tab was added to the Advanced Security Settings user interface. This tab displays the security properties of a remote file share. To view this information, you must have the following permissions and memberships, as appropriate for the version of Windows Server that the file server is running.
The WinRMRemoteWMIUsers_ group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.
-
If the file share is hosted on a server that is running a supported version of the operating system:
-
If the file share is hosted on a server that is running a version of Windows Server that is earlier than Windows Server 2012:
In Windows Server 2012, the Access Denied Assistance functionality adds the Authenticated Users group to the local WinRMRemoteWMIUsers__ group. Therefore, when the Access Denied Assistance functionality is enabled, all authenticated users who have Read permissions to the file share can view the file share permissions.
Remarque
The WinRMRemoteWMIUsers_ group allows running Windows PowerShell commands remotely whereas the Remote Management Users group is generally used to allow users to manage servers by using the Server Manager console.
This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.
Attribute |
Valeur |
---|---|
Well-Known SID/RID |
S-1-5-21- |
Type |
Domain local |
Default container |
CN=Users, DC= |
Default members |
Aucun |
Default member of |
Aucun |
Protected by ADMINSDHOLDER? |
Non |
Safe to move out of default container? |
Oui |
Safe to delegate management of this group to non-Service admins? |
|
Default User Rights |
Aucun |
Voir également
Security Principals Technical Overview
Special Identities
<! – ->
Commentaires
Laisser un commentaire