Serveur d'impression

Groupes de sécurité Active Directory | Microsoft Docs – Serveur d’impression

Le 13 octobre 2019 - 61 minutes de lecture

<! – ->

S'applique à: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

Cette rubrique de référence destinée aux professionnels de l'informatique décrit les groupes de sécurité Active Directory par défaut.

Il existe deux types d'entités de sécurité communes dans Active Directory: les comptes d'utilisateur et les comptes d'ordinateur. Ces comptes représentent une entité physique (une personne ou un ordinateur). Les comptes d'utilisateur peuvent également être utilisés en tant que comptes de service dédiés pour certaines applications. Les groupes de sécurité sont utilisés pour collecter les comptes d'utilisateurs, les comptes d'ordinateurs et d'autres groupes dans des unités gérables.

Dans le système d'exploitation Windows Server, plusieurs comptes intégrés et groupes de sécurité sont préconfigurés avec les droits et autorisations appropriés pour effectuer des tâches spécifiques. Pour Active Directory, il existe deux types de responsabilités administratives:

  • Administrateurs de service Responsable de la maintenance et de la fourniture des services de domaine Active Directory (AD DS), y compris la gestion des contrôleurs de domaine et la configuration des services AD DS.

  • Administrateurs de données Responsable de la maintenance des données stockées dans AD DS et sur les serveurs et stations de travail membres du domaine.

À propos des groupes Active Directory

Les groupes sont utilisés pour regrouper les comptes d'utilisateurs, les comptes d'ordinateurs et d'autres groupes en unités gérables. Travailler avec des groupes plutôt qu'avec des utilisateurs individuels permet de simplifier la maintenance et l'administration du réseau.

Il existe deux types de groupes dans Active Directory:

Groupes de distribution

Les groupes de distribution ne peuvent être utilisés qu'avec des applications de messagerie (telles qu'Exchange Server) pour envoyer des messages électroniques à des ensembles d'utilisateurs. Les groupes de distribution ne sont pas activés pour la sécurité, ce qui signifie qu'ils ne peuvent pas être répertoriés dans les listes de contrôle d'accès discrétionnaire (DACL).

Groupes de sécurité

Les groupes de sécurité peuvent constituer un moyen efficace d'attribuer l'accès aux ressources de votre réseau. En utilisant des groupes de sécurité, vous pouvez:

  • Attribuez des droits d'utilisateur aux groupes de sécurité dans Active Directory.

    Les droits d'utilisateur sont attribués à un groupe de sécurité pour déterminer ce que les membres de ce groupe peuvent faire dans le cadre d'un domaine ou d'une forêt. Les droits d’utilisateur sont automatiquement attribués à certains groupes de sécurité lors de l’installation d’Active Directory afin d’aider les administrateurs à définir le rôle administratif d’une personne dans le domaine.

    Par exemple, un utilisateur ajouté au groupe Opérateurs de sauvegarde dans Active Directory peut sauvegarder et restaurer des fichiers et des répertoires situés sur chaque contrôleur de domaine du domaine. Cela est possible car, par défaut, les droits de l'utilisateur Fichiers et répertoires de sauvegarde et Restaurer des fichiers et des répertoires sont automatiquement affectés au groupe Opérateurs de sauvegarde. Par conséquent, les membres de ce groupe héritent des droits d'utilisateur attribués à ce groupe.

    Vous pouvez utiliser la stratégie de groupe pour attribuer des droits d’utilisateur aux groupes de sécurité afin de déléguer des tâches spécifiques. Pour plus d'informations sur l'utilisation de la stratégie de groupe, voir Attribution des droits de l'utilisateur.

  • Attribuez des autorisations aux groupes de sécurité pour les ressources.

    Les autorisations sont différentes des droits d'utilisateur. Des autorisations sont attribuées au groupe de sécurité pour la ressource partagée. Les autorisations déterminent qui peut accéder à la ressource et le niveau d'accès, tel que Contrôle total. Certaines autorisations définies sur les objets de domaine sont automatiquement attribuées pour permettre différents niveaux d'accès aux groupes de sécurité par défaut, tels que le groupe Opérateurs de compte ou le groupe Administrateurs de domaine.

    Les groupes de sécurité sont répertoriés dans les listes DACL qui définissent les autorisations sur les ressources et les objets. Lors de l'attribution d'autorisations pour des ressources (partages de fichiers, imprimantes, etc.), les administrateurs doivent attribuer ces autorisations à un groupe de sécurité plutôt qu'à des utilisateurs individuels. Les autorisations sont attribuées une fois au groupe, au lieu de plusieurs fois à chaque utilisateur. Chaque compte ajouté à un groupe reçoit les droits attribués à ce groupe dans Active Directory et l'utilisateur reçoit les autorisations définies pour ce groupe.

Comme les groupes de distribution, les groupes de sécurité peuvent être utilisés comme une entité de messagerie. L'envoi d'un message électronique au groupe l'envoie à tous les membres du groupe.

Portée du groupe

Les groupes sont caractérisés par une étendue qui identifie le degré d'application du groupe dans l'arborescence ou la forêt du domaine. L'étendue du groupe définit les endroits où des autorisations peuvent être accordées au groupe. Les trois portées de groupe suivantes sont définies par Active Directory:

  • Universel

  • Global

  • Domaine Local

Remarque

En plus de ces trois portées, les groupes par défaut de la Intégré conteneur ont une portée de groupe de Builtin Local. Cette étendue et ce type de groupe ne peuvent pas être modifiés.

Le tableau suivant répertorie les trois étendues de groupe et donne plus d'informations sur chaque étendue d'un groupe de sécurité.

Portées du groupe

Portée

Membres possibles

Conversion de portée

Peut accorder des autorisations

Membre possible de

Universel

Comptes de n'importe quel domaine de la même forêt

Groupes globaux de n'importe quel domaine de la même forêt

Autres groupes universels de n'importe quel domaine de la même forêt

Peut être converti en étendue de domaine local

Peut être converti en étendue globale si le groupe ne contient aucun autre groupe universel

Sur n'importe quel domaine de la même forêt ou forêts de confiance

Autres groupes universels dans la même forêt

Domaine Groupes locaux dans la même forêt ou forêts de confiance

Groupes locaux sur des ordinateurs de la même forêt ou de forêts en confiance

Global

Comptes du même domaine

Autres groupes globaux du même domaine

Peut être converti en étendue universelle si le groupe n'est membre d'aucun autre groupe global

Sur n'importe quel domaine de la même forêt, ou sur des domaines ou forêts de confiance

Groupes universels de n'importe quel domaine de la même forêt

Autres groupes globaux du même domaine

Domaine Groupes locaux de n'importe quel domaine de la même forêt ou de tout domaine de confiance

Domaine Local

Comptes de n'importe quel domaine ou domaine approuvé

Groupes globaux de tout domaine ou de tout domaine approuvé

Groupes universels de n'importe quel domaine de la même forêt

Autres groupes de domaines locaux du même domaine

Comptes, groupes globaux et groupes universels d'autres forêts et de domaines externes

Peut être converti en étendue universelle si le groupe ne contient aucun autre groupe de domaine local

Dans le même domaine

Autres groupes de domaines locaux du même domaine

Groupes locaux sur des ordinateurs du même domaine, à l'exclusion des groupes intégrés qui ont des SID connus

Groupes d'identité spéciaux

Les identités spéciales sont généralement appelées groupes. Les groupes d'identité spéciaux n'ont pas d'adhésion spécifique pouvant être modifiée, mais ils peuvent représenter différents utilisateurs à des moments différents, en fonction des circonstances. Certains de ces groupes comprennent le créateur du propriétaire, le traitement par lots et l'utilisateur authentifié.

Pour plus d'informations sur tous les groupes d'identité spéciaux, voir Identités spéciales.

Groupes de sécurité par défaut

Les groupes par défaut, tels que le groupe Admins du domaine, sont des groupes de sécurité créés automatiquement lorsque vous créez un domaine Active Directory. Vous pouvez utiliser ces groupes prédéfinis pour contrôler l’accès aux ressources partagées et pour déléguer des rôles administratifs spécifiques à l’ensemble du domaine.

De nombreux groupes par défaut se voient automatiquement attribuer un ensemble de droits d’utilisateur qui autorisent les membres du groupe à effectuer des actions spécifiques dans un domaine, telles que la connexion à un système local ou la sauvegarde de fichiers et de dossiers. Par exemple, un membre du groupe Opérateurs de sauvegarde a le droit d'effectuer des opérations de sauvegarde pour tous les contrôleurs de domaine du domaine.

Lorsque vous ajoutez un utilisateur à un groupe, il reçoit tous les droits d'utilisateur attribués au groupe et toutes les autorisations attribuées au groupe pour les ressources partagées.

Les groupes par défaut sont situés dans le Intégré conteneur et dans le Utilisateurs conteneur dans Utilisateurs et ordinateurs Active Directory. le Intégré Le conteneur inclut les groupes définis avec la portée du domaine local. le Utilisateurs includes contient des groupes définis avec une portée globale et des groupes définis avec une portée de domaine local. Vous pouvez déplacer des groupes situés dans ces conteneurs vers d'autres groupes ou unités organisationnelles du domaine, mais vous ne pouvez pas les déplacer vers d'autres domaines.

Certains des groupes administratifs répertoriés dans cette rubrique et tous les membres de ces groupes sont protégés par un processus d'arrière-plan qui vérifie et applique périodiquement un descripteur de sécurité spécifique. Ce descripteur est une structure de données contenant des informations de sécurité associées à un objet protégé. Ce processus garantit que toute tentative non autorisée réussie de modification du descripteur de sécurité sur l'un des comptes d'administration ou des groupes sera remplacée par les paramètres protégés.

Le descripteur de sécurité est présent sur le AdminSDHolder objet. Cela signifie que si vous souhaitez modifier les autorisations sur l'un des groupes d'administrateurs de service ou sur l'un de ses comptes membres, vous devez modifier le descripteur de sécurité sur le serveur. AdminSDHolder objet afin qu'il soit appliqué de manière cohérente. Faites attention lorsque vous apportez ces modifications car vous modifiez également les paramètres par défaut qui seront appliqués à tous vos comptes administratifs protégés.

Groupes de sécurité par défaut Active Directory par version du système d'exploitation

Les tableaux suivants décrivent les groupes par défaut situés dans le répertoire. Intégré et Utilisateurs conteneurs dans chaque système d'exploitation.

Opérateurs d'assistance au contrôle d'accès

Les membres de ce groupe peuvent interroger à distance les attributs d'autorisation et les autorisations d'accès aux ressources de l'ordinateur.

Le groupe Opérateurs d'assistance au contrôle d'accès s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-32-579

Type

BuiltIn Local

Conteneur par défaut

CN = BuiltIn, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

Opérateurs de compte

Le groupe Opérateurs de compte accorde des privilèges de création de compte limités à un utilisateur. Les membres de ce groupe peuvent créer et modifier la plupart des types de comptes, y compris ceux des utilisateurs, des groupes locaux et des groupes globaux, et les membres peuvent se connecter localement aux contrôleurs de domaine.

Les membres du groupe Opérateurs de compte ne peuvent pas gérer le compte d'utilisateur Administrateur, les comptes d'utilisateur d'administrateurs, ni les groupes Administrateurs, Opérateurs de serveur, Opérateurs de compte, Opérateurs de sauvegarde ou Opérateurs d'impression. Les membres de ce groupe ne peuvent pas modifier les droits des utilisateurs.

Le groupe Opérateurs de compte s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Remarque

Par défaut, ce groupe intégré n'a aucun membre et il peut créer et gérer des utilisateurs et des groupes du domaine, y compris son propre appartenance et celui du groupe Opérateurs de serveur. Ce groupe est considéré comme un groupe d'administrateurs de service car il peut modifier les opérateurs de serveur, ce qui peut également modifier les paramètres du contrôleur de domaine. Il est recommandé de laisser les membres de ce groupe vides et de ne pas les utiliser pour une administration déléguée. Ce groupe ne peut pas être renommé, supprimé ou déplacé.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-32-548

Type

BuiltIn Local

Conteneur par défaut

CN = BuiltIn, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Oui

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Non

Droits d'utilisateur par défaut

Autoriser la connexion localement: SeInteractiveLogonRight

Administrateurs

Les membres du groupe Administrateurs ont un accès complet et illimité à l'ordinateur ou, si l'ordinateur est promu contrôleur de domaine, les membres disposent d'un accès illimité au domaine.

Le groupe Administrateurs s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Remarque

Le groupe Administrateurs dispose de fonctionnalités intégrées qui donnent à ses membres un contrôle total sur le système. Ce groupe ne peut pas être renommé, supprimé ou déplacé. Ce groupe intégré contrôle l'accès à tous les contrôleurs de domaine de son domaine et peut modifier l'appartenance à tous les groupes administratifs.
L'appartenance peut être modifiée par les membres des groupes suivants: les administrateurs de service par défaut, les administrateurs de domaine du domaine ou les administrateurs d'entreprise. Ce groupe dispose du privilège spécial de s'approprier tout objet de l'annuaire ou toute ressource d'un contrôleur de domaine. Ce compte est considéré comme un groupe d'administrateurs de service car ses membres disposent d'un accès complet aux contrôleurs de domaine du domaine.

Ce groupe de sécurité inclut les modifications suivantes depuis Windows Server 2008:

Groupe de réplication de mot de passe RODC autorisé

Ce groupe de sécurité a pour objectif de gérer une stratégie de réplication de mot de passe RODC. Ce groupe n'a aucun membre par défaut et il en résulte que les nouveaux contrôleurs de domaine en lecture seule ne mettent pas en cache les informations d'identification de l'utilisateur. Le groupe de groupes de réplication de mots de passe RODC refusé contient une variété de comptes à privilèges élevés et de groupes de sécurité. Le groupe de réplication de mot de passe RODC refusé remplace le groupe de réplication de mot de passe RODC autorisé.

Le groupe de réplication de mot de passe RODC autorisé s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-21--571

Type

Domaine local

Conteneur par défaut

CN = Utilisateurs DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

Opérateurs de sauvegarde

Les membres du groupe Opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers sur un ordinateur, quelles que soient les autorisations qui protègent ces fichiers. Les opérateurs de sauvegarde peuvent également se connecter et éteindre l'ordinateur. Ce groupe ne peut pas être renommé, supprimé ou déplacé. Par défaut, ce groupe intégré ne comporte aucun membre et peut effectuer des opérations de sauvegarde et de restauration sur les contrôleurs de domaine. Son appartenance peut être modifiée par les groupes suivants: administrateurs de service par défaut, administrateurs de domaine du domaine ou administrateurs d'entreprise. Il ne peut modifier l’appartenance à aucun groupe administratif. Bien que les membres de ce groupe ne puissent pas modifier les paramètres du serveur ou la configuration du répertoire, ils disposent des autorisations nécessaires pour remplacer les fichiers (y compris les fichiers du système d'exploitation) sur les contrôleurs de domaine. Pour cette raison, les membres de ce groupe sont considérés comme des administrateurs de service.

Le groupe Opérateurs de sauvegarde s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Les membres de ce groupe sont autorisés à se connecter aux autorités de certification de l'entreprise.

Le groupe d'accès DCOM du service de certificats s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-32--574

Type

Domaine Local

Conteneur par défaut

CN = Builtin, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

Cert Publishers

Les membres du groupe Cert Publishers sont autorisés à publier des certificats pour les objets Utilisateur dans Active Directory.

Le groupe Cert Publishers s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5--517

Type

Domaine Local

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Groupe de réplication de mot de passe RODC refusé

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Non

Droits d'utilisateur par défaut

Aucun

Contrôleurs de domaine clonables

Les membres du groupe de contrôleurs de domaine clonables qui sont des contrôleurs de domaine peuvent être clonés. Dans Windows Server 2012 R2 et Windows Server 2012, vous pouvez déployer des contrôleurs de domaine en copiant un contrôleur de domaine virtuel existant. Dans un environnement virtuel, il n'est plus nécessaire de déployer de manière répétée une image de serveur préparée à l'aide de sysprep.exe, de promouvoir le serveur en contrôleur de domaine, puis de définir des conditions de configuration supplémentaires pour le déploiement de chaque contrôleur de domaine (y compris l'ajout du contrôleur de domaine virtuel). à ce groupe de sécurité).

Pour plus d'informations, voir Introduction à la virtualisation des services de domaine Active Directory (AD DS) (niveau 100).

Ce groupe de sécurité a été introduit dans Windows Server 2012 et n'a pas changé dans les versions ultérieures.

Attribut

Valeur

SID / RID bien connu

S-1-5-21--522

Type

Global

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

Opérateurs cryptographiques

Les membres de ce groupe sont autorisés à effectuer des opérations cryptographiques. Ce groupe de sécurité a été ajouté à Windows Vista Service Pack 1 (SP1) pour configurer le Pare-feu Windows pour IPsec en mode Critères communs.

Le groupe d'opérateurs de chiffrement s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité a été introduit dans Windows Vista Service Pack 1 et n'a pas changé dans les versions ultérieures.

Attribut

Valeur

SID / RID bien connu

S-1-5-32-569

Type

Local intégré

Conteneur par défaut

CN = Builtin, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

Groupe de réplication de mot de passe RODC refusé

Les membres du groupe de réplication de mot de passe RODC refusé ne peuvent pas avoir leurs mots de passe répliqués sur un contrôleur de domaine en lecture seule.

Ce groupe de sécurité a pour objectif de gérer une stratégie de réplication de mot de passe RODC. Ce groupe contient divers comptes à privilèges élevés et groupes de sécurité. Le groupe de réplication de mot de passe RODC refusé remplace le groupe de réplication de mot de passe RODC autorisé.

Ce groupe de sécurité inclut les modifications suivantes depuis Windows Server 2008:

  • Windows Server 2012 a modifié les membres par défaut pour inclure les éditeurs de certificats.

Les membres du groupe Utilisateurs COM distribués sont autorisés à lancer, activer et utiliser des objets COM distribués sur l'ordinateur. Le modèle COM (Microsoft Component Object Model) est un système orienté objet, distribué et indépendant de la plate-forme, permettant de créer des composants logiciels binaires pouvant interagir. Le modèle DCOM (Distributed Component Object Model) permet aux applications d'être réparties entre des emplacements qui ont le plus de sens pour vous et pour l'application. Ce groupe apparaît en tant que SID jusqu'à ce que le contrôleur de domaine devienne le contrôleur de domaine principal et qu'il conserve le rôle de maître d'opérations (également appelé opérations à maître unique flexible ou FSMO).

Le groupe Utilisateurs COM distribués s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-32-562

Type

Local intégré

Conteneur par défaut

CN = Builtin, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

DnsUpdateProxy

Les membres du groupe DnsUpdateProxy sont des clients DNS. Ils sont autorisés à effectuer des mises à jour dynamiques pour le compte d'autres clients (tels que les serveurs DHCP). Un serveur DNS peut développer des enregistrements de ressources périmés lorsqu'un serveur DHCP est configuré pour enregistrer de manière dynamique des enregistrements de ressources d'hôtes (A) et de pointeurs (PTR) pour le compte de clients DHCP à l'aide de la mise à jour dynamique. L'ajout de clients à ce groupe de sécurité atténue ce scénario.

Toutefois, pour vous protéger contre les enregistrements non sécurisés ou pour permettre aux membres du groupe DnsUpdateProxy d'enregistrer des enregistrements dans des zones n'autorisant que les mises à jour dynamiques sécurisées, vous devez créer un compte utilisateur dédié et configurer les serveurs DHCP pour qu'ils effectuent des mises à jour dynamiques DNS à l'aide des informations d'identification de ce compte. (nom d'utilisateur, mot de passe et domaine). Plusieurs serveurs DHCP peuvent utiliser les informations d'identification d'un compte utilisateur dédié.

Pour plus d'informations, voir Propriété d'enregistrement DNS et le groupe DnsUpdateProxy.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-21--1103

Type

Global

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Oui

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

DnsAdmins

Les membres du groupe DNSAdmins ont accès aux informations DNS du réseau. Les autorisations par défaut sont les suivantes: Autoriser: Lecture, Écriture, Créer tous les objets enfant, Supprimer les objets enfant, Autorisations spéciales.

Pour plus d'informations sur les autres moyens de sécuriser le service de serveur DNS, voir Sécurisation du service de serveur DNS.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-21--1102

Type

Domaine local

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Oui

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

Admins du domaine

Les membres du groupe de sécurité Domain Admins sont autorisés à administrer le domaine. Par défaut, le groupe Admins du domaine est membre du groupe Administrateurs sur tous les ordinateurs ayant rejoint un domaine, y compris les contrôleurs de domaine. Le groupe Admins du domaine est le propriétaire par défaut de tout objet créé dans Active Directory pour le domaine par un membre du groupe. Si les membres du groupe créent d'autres objets, tels que des fichiers, le propriétaire par défaut est le groupe Administrateurs.

Le groupe Admins du domaine contrôle l'accès à tous les contrôleurs de domaine d'un domaine et peut modifier l'appartenance à tous les comptes administratifs du domaine. L'appartenance peut être modifiée par les membres des groupes d'administrateurs de services de son domaine (administrateurs et administrateurs de domaine) et par les membres du groupe Administrateurs de l'entreprise. Ceci est considéré comme un compte d'administrateur de service car ses membres ont un accès complet aux contrôleurs de domaine d'un domaine.

Le groupe Admins du domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Domaine informatique

Ce groupe peut inclure tous les ordinateurs et serveurs ayant rejoint le domaine, à l'exception des contrôleurs de domaine. Par défaut, tout compte d'ordinateur créé automatiquement devient membre de ce groupe.

Le groupe Ordinateurs du domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory, par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5--515

Type

Global

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Tous les ordinateurs joints au domaine, à l'exception des contrôleurs de domaine

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Oui (mais pas obligatoire)

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Oui

Droits d'utilisateur par défaut

Aucun

Contrôleurs de domaine

Le groupe de contrôleurs de domaine peut inclure tous les contrôleurs de domaine du domaine. Les nouveaux contrôleurs de domaine sont automatiquement ajoutés à ce groupe.

Le groupe de contrôleurs de domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5--516

Type

Global

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Comptes d'ordinateur pour tous les contrôleurs de domaine du domaine

Membre par défaut de

Groupe de réplication de mot de passe RODC refusé

Protégé par ADMINSDHOLDER?

Oui

Coffre-fort pour sortir du conteneur par défaut?

Non

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Non

Droits d'utilisateur par défaut

Aucun

Invités du domaine

Le groupe Invités du domaine comprend le compte invité intégré au domaine. Lorsque les membres de ce groupe se connectent en tant qu'invités locaux sur un ordinateur joint à un domaine, un profil de domaine est créé sur l'ordinateur local.

Le groupe Invités du domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5--514

Type

Global

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Client

Membre par défaut de

Invités

Protégé par ADMINSDHOLDER?

Oui

Coffre-fort pour sortir du conteneur par défaut?

Peut être retiré mais ce n'est pas recommandé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Non

Droits d'utilisateur par défaut

Voir les invités

Utilisateurs du domaine

Le groupe Utilisateurs du domaine comprend tous les comptes d'utilisateur d'un domaine. Lorsque vous créez un compte d'utilisateur dans un domaine, il est automatiquement ajouté à ce groupe.

Par défaut, tout compte d'utilisateur créé dans le domaine devient automatiquement membre de ce groupe. Ce groupe peut être utilisé pour représenter tous les utilisateurs du domaine. Par exemple, si vous souhaitez que tous les utilisateurs du domaine aient accès à une imprimante, vous pouvez attribuer des autorisations pour l'imprimante à ce groupe (ou ajouter le groupe Utilisateurs du domaine à un groupe local du serveur d'impression disposant d'autorisations pour l'imprimante).

Le groupe Utilisateurs du domaine s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5--513

Type

Domaine Global

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Administrateur

krbtgt

Membre par défaut de

Utilisateurs

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Oui

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Non

Droits d'utilisateur par défaut

Voir les utilisateurs

Administrateurs d'entreprise

Le groupe Administrateurs d'entreprise n'existe que dans le domaine racine d'une forêt de domaines Active Directory. C'est un groupe universel si le domaine est en mode natif; c'est un groupe global si le domaine est en mode mixte. Les membres de ce groupe sont autorisés à apporter des modifications à l'échelle de la forêt dans Active Directory, telles que l'ajout de domaines enfants.

Par défaut, le seul membre du groupe est le compte administrateur du domaine racine de la forêt. Ce groupe est automatiquement ajouté au groupe Administrateurs de chaque domaine de la forêt et fournit un accès complet à la configuration de tous les contrôleurs de domaine. Les membres de ce groupe peuvent modifier la composition de tous les groupes administratifs. L'appartenance ne peut être modifiée que par les groupes d'administrateurs de service par défaut du domaine racine. Ceci est considéré comme un compte d'administrateur de service.

Le groupe Administrateurs de l'entreprise s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Contrôleurs de domaine d'entreprise en lecture seule

Les membres de ce groupe sont des contrôleurs de domaine en lecture seule dans l'entreprise. À l'exception des mots de passe de compte, un contrôleur de domaine en lecture seule contient tous les objets et attributs Active Directory détenus par un contrôleur de domaine accessible en écriture. Toutefois, aucune modification ne peut être apportée à la base de données stockée sur le contrôleur de domaine en lecture seule. Les modifications doivent être effectuées sur un contrôleur de domaine accessible en écriture, puis répliquées sur le contrôleur de domaine en lecture seule.

Les contrôleurs de domaine en lecture seule résolvent certains des problèmes courants dans les succursales. Ces emplacements peuvent ne pas avoir de contrôleur de domaine. Ils peuvent également avoir un contrôleur de domaine accessible en écriture, mais pas la sécurité physique, la bande passante du réseau ou les compétences locales pour le prendre en charge.

Pour plus d'informations, voir AD DS: Contrôleurs de domaine en lecture seule.

Le groupe de contrôleurs de domaine d'entreprise en lecture seule s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-21--498

Type

Universel

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Oui

Coffre-fort pour sortir du conteneur par défaut?

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

Lecteurs de journaux d'événements

Les membres de ce groupe peuvent lire les journaux d'événements à partir d'ordinateurs locaux. Le groupe est créé lorsque le serveur est promu en tant que contrôleur de domaine.

Le groupe Lecteurs de journaux d'événements s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5-32-573

Type

Local intégré

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Aucun

Membre par défaut de

Aucun

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Ne peut pas être déplacé

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Droits d'utilisateur par défaut

Aucun

Propriétaires de créateurs de règles de groupe

Ce groupe est autorisé à créer, modifier ou supprimer des objets de stratégie de groupe dans le domaine. Par défaut, l'administrateur est le seul membre du groupe.

Pour plus d'informations sur les autres fonctionnalités que vous pouvez utiliser avec ce groupe de sécurité, voir Guide de planification et de déploiement de la stratégie de groupe.

Le groupe Propriétaires créateurs de stratégie de groupe s'applique aux versions du système d'exploitation Windows Server répertoriées dans les groupes de sécurité par défaut d'Active Directory par version du système d'exploitation.

Ce groupe de sécurité n'a pas changé depuis Windows Server 2008.

Attribut

Valeur

SID / RID bien connu

S-1-5--520

Type

Global

Conteneur par défaut

CN = Utilisateurs, DC =, DC =

Membres par défaut

Administrateur

Membre par défaut de

Groupe de réplication de mot de passe RODC refusé

Protégé par ADMINSDHOLDER?

Non

Coffre-fort pour sortir du conteneur par défaut?

Non

Est-il sûr de déléguer la gestion de ce groupe à des administrateurs autres que ceux du service?

Non

Droits d'utilisateur par défaut

Voir Groupe de réplication de mot de passe RODC refusé.

Invités

Les membres du groupe Invités ont le même accès que les membres du groupe Utilisateurs par défaut, sauf que le compte Invité a d'autres restrictions. Par défaut, le seul membre est le compte Invité. Le groupe Invités permet aux utilisateurs occasionnels ou occasionnels de se connecter avec des privilèges limités au compte Invité intégré d'un ordinateur.

Lorsqu'un membre du groupe Invités se déconnecte, l'intégralité du profil est supprimée. Ceci inclut tout ce qui est stocké dans le %profil de l'utilisateur% répertoire, y compris les informations sur la ruche de registre de l'utilisateur, les icônes de bureau personnalisées et d'autres paramètres spécifiques à l'utilisateur. Cela implique qu'un invité doit utiliser un profil temporaire pour se connecter au système. Ce groupe de sécurité interagit avec le paramètre de stratégie de groupe Ne pas connecter les utilisateurs avec des profils temporaires quand il est activé. Ce paramètre est situé sous le chemin suivant:

Configuration de l'ordinateur Modèles d'administration Système Profils utilisateur

Remarque

A Guest account is a default member of the Guests security group. People who do not have an actual account in the domain can use the Guest account. A user whose account is disabled (but not deleted) can also use the Guest account.
The Guest account does not require a password. You can set rights and permissions for the Guest account as in any user account. By default, the Guest account is a member of the built-in Guests group and the Domain Guests global group, which allows a user to sign in to a domain. The Guest account is disabled by default, and we recommend that it stay disabled.

The Guests group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-546

Type

Builtin Local

Default container

CN=BuiltIn, DC=, DC=

Default members

Guest

Default member of

Domain Guests

Guest

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Non

Default User Rights

Aucun

Hyper-V Administrators

Members of the Hyper-V Administrators group have complete and unrestricted access to all the features in Hyper-V. Adding members to this group helps reduce the number of members required in the Administrators group, and further separates access.

Remarque

Prior to Windows Server 2012, access to features in Hyper-V was controlled in part by membership in the Administrators group.

This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-578

Type

Builtin local

Default container

CN=BuiltIn, DC=, DC=

Default members

Aucun

Default member of

Non

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Default User Rights

Aucun

IIS_IUSRS

IIS_IUSRS is a built-in group that is used by Internet Information Services beginning with IIS 7.0. A built-in account and group are guaranteed by the operating system to always have a unique SID. IIS 7.0 replaces the IUSR_MachineName account and the IIS_WPG group with the IIS_IUSRS group to ensure that the actual names that are used by the new account and group will never be localized. For example, regardless of the language of the Windows operating system that you install, the IIS account name will always be IUSR, and the group name will be IIS_IUSRS.

For more information, see Understanding Built-In User and Group Accounts in IIS 7.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-568

Type

BuiltIn Local

Default container

CN=BuiltIn, DC=, DC=

Default members

IUSR

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Safe to delegate management of this group to non-Service admins?

Default User Rights

Aucun

Incoming Forest Trust Builders

Members of the Incoming Forest Trust Builders group can create incoming, one-way trusts to this forest. Active Directory provides security across multiple domains or forests through domain and forest trust relationships. Before authentication can occur across trusts, Windows must determine whether the domain being requested by a user, computer, or service has a trust relationship with the logon domain of the requesting account.

To make this determination, the Windows security system computes a trust path between the domain controller for the server that receives the request and a domain controller in the domain of the requesting account. A secured channel extends to other Active Directory domains through interdomain trust relationships. This secured channel is used to obtain and verify security information, including security identifiers (SIDs) for users and groups.

Remarque

This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).

For more information, see How Domain and Forest Trusts Work: Domain and Forest Trusts.

The Incoming Forest Trust Builders group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

Remarque

This group cannot be renamed, deleted, or moved.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-557

Type

BuiltIn local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Non

Default User Rights

Aucun

Network Configuration Operators

Members of the Network Configuration Operators group can have the following administrative privileges to manage configuration of networking features:

  • Modify the Transmission Control Protocol/Internet Protocol (TCP/IP) properties for a local area network (LAN) connection, which includes the IP address, the subnet mask, the default gateway, and the name servers.

  • Rename the LAN connections or remote access connections that are available to all the users.

  • Enable or disable a LAN connection.

  • Modify the properties of all of remote access connections of users.

  • Delete all the remote access connections of users.

  • Rename all the remote access connections of users.

  • Issue ipconfig, ipconfig /release, or ipconfig /renew commands.

  • Enter the PIN unblock key (PUK) for mobile broadband devices that support a SIM card.

Remarque

This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).

The Network Configuration Operators group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

Remarque

This group cannot be renamed, deleted, or moved.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-556

Type

BuiltIn local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Oui

Default User Rights

Aucun

Performance Log Users

Members of the Performance Log Users group can manage performance counters, logs, and alerts locally on the server and from remote clients without being a member of the Administrators group. Specifically, members of this security group:

  • Can use all the features that are available to the Performance Monitor Users group.

  • Can create and modify Data Collector Sets after the group is assigned the Log on as a batch job user right.

    Attention

    If you are a member of the Performance Log Users group, you must configure Data Collector Sets that you create to run under your credentials.

  • Cannot use the Windows Kernel Trace event provider in Data Collector Sets.

For members of the Performance Log Users group to initiate data logging or modify Data Collector Sets, the group must first be assigned the Log on as a batch job user right. To assign this user right, use the Local Security Policy snap-in in Microsoft Management Console.

Remarque

This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).

The Performance Log Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

Remarque

This account cannot be renamed, deleted, or moved.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-559

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Oui

Default User Rights

Log on as a batch job: SeBatchLogonRight

Performance Monitor Users

Members of this group can monitor performance counters on domain controllers in the domain, locally and from remote clients, without being a member of the Administrators or Performance Log Users groups. The Windows Performance Monitor is a Microsoft Management Console (MMC) snap-in that provides tools for analyzing system performance. From a single console, you can monitor application and hardware performance, customize what data you want to collect in logs, define thresholds for alerts and automatic actions, generate reports, and view past performance data in a variety of ways.

Specifically, members of this security group:

  • Can use all the features that are available to the Users group.

  • Can view real-time performance data in Performance Monitor.

    Can change the Performance Monitor display properties while viewing data.

  • Cannot create or modify Data Collector Sets.

    Attention

    You cannot configure a Data Collector Set to run as a member of the Performance Monitor Users group.

Remarque

This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO). This group cannot be renamed, deleted, or moved.

The Performance Monitor Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-558

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Oui

Default User Rights

Aucun

Pre–Windows 2000 Compatible Access

Members of the Pre–Windows 2000 Compatible Access group have Read access for all users and groups in the domain. This group is provided for backward compatibility for computers running Windows NT 4.0 and earlier. By default, the special identity group, Everyone, is a member of this group. Add users to this group only if they are running Windows NT 4.0 or earlier.

Attention

This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).

The Pre–Windows 2000 Compatible Access group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-554

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

If you choose the Pre–Windows 2000 Compatible Permissions mode, Everyone and Anonymous are members, and if you choose the Windows 2000-only permissions mode, Authenticated Users are members.

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Non

Default User Rights

Access this computer from the network: SeNetworkLogonRight

Bypass traverse checking: SeChangeNotifyPrivilege

Members of this group can manage, create, share, and delete printers that are connected to domain controllers in the domain. They can also manage Active Directory printer objects in the domain. Members of this group can locally sign in to and shut down domain controllers in the domain.

This group has no default members. Because members of this group can load and unload device drivers on all domain controllers in the domain, add users with caution. This group cannot be renamed, deleted, or moved.

The Print Operators group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group has not changed since Windows Server 2008. However, in Windows Server 2008 R2, functionality was added to manage print administration. For more information, see Assigning Delegated Print Administrator and Printer Permission Settings in Windows Server 2008 R2.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-550

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Oui

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Non

Default User Rights

Allow log on locally: SeInteractiveLogonRight

Load and unload device drivers: SeLoadDriverPrivilege

Shut down the system: SeShutdownPrivilege

Protected Users

Members of the Protected Users group are afforded additional protection against the compromise of credentials during authentication processes.

This security group is designed as part of a strategy to effectively protect and manage credentials within the enterprise. Members of this group automatically have non-configurable protection applied to their accounts. Membership in the Protected Users group is meant to be restrictive and proactively secure by default. The only method to modify the protection for an account is to remove the account from the security group.

This domain-related, global group triggers non-configurable protection on devices and host computers running Windows Server 2012 R2 and Windows 8.1, and on domain controllers in domains with a primary domain controller running Windows Server 2012 R2. This greatly reduces the memory footprint of credentials when users sign in to computers on the network from a non-compromised computer.

Depending on the account’s domain functional level, members of the Protected Users group are further protected due to behavior changes in the authentication methods that are supported in Windows.

  • Members of the Protected Users group cannot authenticate by using the following Security Support Providers (SSPs): NTLM, Digest Authentication, or CredSSP. Passwords are not cached on a device running Windows 8.1, so the device fails to authenticate to a domain when the account is a member of the Protected User group.

  • The Kerberos protocol will not use the weaker DES or RC4 encryption types in the preauthentication process. This means that the domain must be configured to support at least the AES cipher suite.

  • The user’s account cannot be delegated with Kerberos constrained or unconstrained delegation. This means that former connections to other systems may fail if the user is a member of the Protected Users group.

  • The default Kerberos ticket-granting tickets (TGTs) lifetime setting of four hours is configurable by using Authentication Policies and Silos, which can be accessed through the Active Directory Administrative Center. This means that when four hours has passed, the user must authenticate again.

The Protected Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This group was introduced in Windows Server 2012 R2. For more information about how this group works, see Protected Users Security Group.

The following table specifies the properties of the Protected Users group.

Attribute

Valeur

Well-known SID/RID

S-1-5-21--525

Type

Domain Global

Default container

CN=Users, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Oui

Safe to delegate management of this group to non-service admins?

Non

Default user rights

Aucun

RAS and IAS Servers

Computers that are members of the RAS and IAS Servers group, when properly configured, are allowed to use remote access services. By default, this group has no members. Computers that are running the Routing and Remote Access service are added to the group automatically, such as IAS servers and Network Policy Servers. Members of this group have access to certain properties of User objects, such as Read Account Restrictions, Read Logon Information, and Read Remote Access Information.

The RAS and IAS Servers group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-21--553

Type

Domain local

Default container

CN=Users, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Oui

Safe to delegate management of this group to non-Service admins?

Oui

Default User Rights

Aucun

RDS Endpoint Servers

Servers that are members in the RDS Endpoint Servers group can run virtual machines and host sessions where user RemoteApp programs and personal virtual desktops run. This group needs to be populated on servers running RD Connection Broker. Session Host servers and RD Virtualization Host servers used in the deployment need to be in this group.

For information about Remote Desktop Services, see Remote Desktop Services Design Guide.

This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.

Attribute

Valeur

Well-Known SID/RID

S-1-5-21--553

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Default User Rights

Aucun

RDS Management Servers

Servers that are members in the RDS Management Servers group can be used to perform routine administrative actions on servers running Remote Desktop Services. This group needs to be populated on all servers in a Remote Desktop Services deployment. The servers running the RDS Central Management service must be included in this group.

This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-577

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Default User Rights

Aucun

RDS Remote Access Servers

Servers in the RDS Remote Access Servers group provide users with access to RemoteApp programs and personal virtual desktops. In Internet facing deployments, these servers are typically deployed in an edge network. This group needs to be populated on servers running RD Connection Broker. RD Gateway servers and RD Web Access servers that are used in the deployment need to be in this group.

For information about RemoteApp programs, see Overview of RemoteApp

This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-575

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Default User Rights

Aucun

Remote Desktop Users

The Remote Desktop Users group on an RD Session Host server is used to grant users and groups permissions to remotely connect to an RD Session Host server. This group cannot be renamed, deleted, or moved. It appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).

The Remote Desktop Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-555

Type

Builtin Local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Oui

Default User Rights

Aucun

Read-Only Domain Controllers

This group is comprised of the Read-only domain controllers in the domain. A Read-only domain controller makes it possible for organizations to easily deploy a domain controller in scenarios where physical security cannot be guaranteed, such as branch office locations, or in scenarios where local storage of all domain passwords is considered a primary threat, such as in an extranet or in an application-facing role.

Because administration of a Read-only domain controller can be delegated to a domain user or security group, an Read-only domain controller is well suited for a site that should not have a user who is a member of the Domain Admins group. A Read-only domain controller encompasses the following functionality:

  • Read-only AD DS database

  • Unidirectional replication

  • Credential caching

  • Administrator role separation

  • Read-only Domain Name System (DNS)

For information about deploying a Read-only domain controller, see Read-Only Domain Controllers Step-by-Step Guide.

This security group was introduced in Windows Server 2008, and it has not changed in subsequent versions.

Attribute

Valeur

Well-Known SID/RID

S-1-5-21--521

Type

Default container

CN=Users, DC=, DC=

Default members

Aucun

Default member of

Denied RODC Password Replication Group

Protected by ADMINSDHOLDER?

Oui

Safe to move out of default container?

Oui

Safe to delegate management of this group to non-Service admins?

Default User Rights

See Denied RODC Password Replication Group

Remote Management Users

Members of the Remote Management Users group can access WMI resources over management protocols (such as WS-Management via the Windows Remote Management service). This applies only to WMI namespaces that grant access to the user.

The Remote Management Users group is generally used to allow users to manage servers through the Server Manager console, whereas the WinRMRemoteWMIUsers_ group is allows remotely running Windows PowerShell commands.

For more information, see WS-Management Protocol (Windows) and About WMI (Windows).

This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-580

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Default User Rights

Aucun

Replicator

Computers that are members of the Replicator group support file replication in a domain. Windows Server operating systems use the File Replication service (FRS) to replicate system policies and logon scripts stored in the System Volume (SYSVOL). Each domain controller keeps a copy of SYSVOL for network clients to access. FRS can also replicate data for the Distributed File System (DFS), synchronizing the content of each member in a replica set as defined by DFS. FRS can copy and maintain shared files and folders on multiple servers simultaneously. When changes occur, content is synchronized immediately within sites and by a schedule between sites.

Important

In Windows Server 2008 R2, FRS cannot be used for replicating DFS folders or custom (non-SYSVOL) data. A Windows Server 2008 R2 domain controller can still use FRS to replicate the contents of a SYSVOL shared resource in a domain that uses FRS for replicating the SYSVOL shared resource between domain controllers.
However, Windows Server 2008 R2 servers cannot use FRS to replicate the contents of any replica set apart from the SYSVOL shared resource. The DFS Replication service is a replacement for FRS, and it can be used to replicate the contents of a SYSVOL shared resource, DFS folders, and other custom (non-SYSVOL) data. You should migrate all non-SYSVOL FRS replica sets to DFS Replication. For more information, see File Replication Service (FRS) Is Deprecated in Windows Server 2008 R2 (Windows).

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-552

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Oui

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Default User Rights

Aucun

Schema Admins

Members of the Schema Admins group can modify the Active Directory schema. This group exists only in the root domain of an Active Directory forest of domains. It is a Universal group if the domain is in native mode; it is a Global group if the domain is in mixed mode.

The group is authorized to make schema changes in Active Directory. By default, the only member of the group is the Administrator account for the forest root domain. This group has full administrative access to the schema.

The membership of this group can be modified by any of the service administrator groups in the root domain. This is considered a service administrator account because its members can modify the schema, which governs the structure and content of the entire directory.

For more information, see What Is the Active Directory Schema?: Active Directory.

The Schema Admins group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5--518

Type

Universal (if Domain is in Native-Mode) else Global

Default container

CN=Users, DC=, DC=

Default members

Administrateur

Default member of

Denied RODC Password Replication Group

Protected by ADMINSDHOLDER?

Oui

Safe to move out of default container?

Oui

Safe to delegate management of this group to non-Service admins?

Non

Default User Rights

See Denied RODC Password Replication Group

Server Operators

Members in the Server Operators group can administer domain servers. This group exists only on domain controllers. By default, the group has no members. Memebers of the Server Operators group can sign in to a server interactively, create and delete network shared resources, start and stop services, back up and restore files, format the hard disk drive of the computer, and shut down the computer. This group cannot be renamed, deleted, or moved.

By default, this built-in group has no members, and it has access to server configuration options on domain controllers. Its membership is controlled by the service administrator groups, Administrators and Domain Admins, in the domain, and the Enterprise Admins group. Members in this group cannot change any administrative group memberships. This is considered a service administrator account because its members have physical access to domain controllers, they can perform maintenance tasks (such as backup and restore), and they have the ability to change binaries that are installed on the domain controllers. Note the default user rights in the following table.

The Server Operators group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group has not changed since Windows Server 2008.

Terminal Server License Servers

Members of the Terminal Server License Servers group can update user accounts in Active Directory with information about license issuance. This is used to track and report TS Per User CAL usage. A TS Per User CAL gives one user the right to access a Terminal Server from an unlimited number of client computers or devices. This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).

For more information about this security group, see Terminal Services License Server Security Group Configuration.

The Terminal Server License Servers group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

Remarque

This group cannot be renamed, deleted, or moved.

This security group only applies to Windows Server 2003 and Windows Server 2008 because Terminal Services was replaced by Remote Desktop Services in Windows Server 2008 R2.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-561

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Aucun

Default member of

Aucun

Safe to move out of default container?

Cannot be moved

Protected by ADMINSDHOLDER?

Non

Safe to delegate management of this group to non-Service admins?

Oui

Default User Rights

Aucun

Users

Members of the Users group are prevented from making accidental or intentional system-wide changes, and they can run most applications. After the initial installation of the operating system, the only member is the Authenticated Users group. When a computer joins a domain, the Domain Users group is added to the Users group on the computer.

Users can perform tasks such as running applications, using local and network printers, shutting down the computer, and locking the computer. Users can install applications that only they are allowed to use if the installation program of the application supports per-user installation. This group cannot be renamed, deleted, or moved.

The Users group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

This security group includes the following changes since Windows Server 2008:

  • In Windows Server 2008 R2, INTERACTIVE was added to the default members list.

  • In Windows Server 2012, the default Member Of list changed from Domain Users to none.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-545

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Authenticated Users

Domain Users

INTERACTIVE

Default member of

Domain Users (this membership is due to the fact that the Primary Group ID of all user accounts is Domain Users.)

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Non

Default User Rights

Aucun

Windows Authorization Access Group

Members of this group have access to the computed token GroupsGlobalAndUniversal attribute on User objects. Some applications have features that read the token-groups-global-and-universal (TGGAU) attribute on user account objects or on computer account objects in Active Directory Domain Services. Some Win32 functions make it easier to read the TGGAU attribute. Applications that read this attribute or that call an API (referred to as a function) that reads this attribute do not succeed if the calling security context does not have access to the attribute. This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).

The Windows Authorization Access group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

Remarque

This group cannot be renamed, deleted, or moved.

This security group has not changed since Windows Server 2008.

Attribute

Valeur

Well-Known SID/RID

S-1-5-32-560

Type

Builtin local

Default container

CN=Builtin, DC=, DC=

Default members

Enterprise Domain Controllers

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Cannot be moved

Safe to delegate management of this group to non-Service admins?

Oui

Default user rights

Aucun

WinRMRemoteWMIUsers_

In Windows 8 and in Windows Server 2012, a Partager tab was added to the Advanced Security Settings user interface. This tab displays the security properties of a remote file share. To view this information, you must have the following permissions and memberships, as appropriate for the version of Windows Server that the file server is running.

The WinRMRemoteWMIUsers_ group applies to versions of the Windows Server operating system listed in the Active Directory default security groups by operating system version.

  • If the file share is hosted on a server that is running a supported version of the operating system:

  • If the file share is hosted on a server that is running a version of Windows Server that is earlier than Windows Server 2012:

In Windows Server 2012, the Access Denied Assistance functionality adds the Authenticated Users group to the local WinRMRemoteWMIUsers__ group. Therefore, when the Access Denied Assistance functionality is enabled, all authenticated users who have Read permissions to the file share can view the file share permissions.

Remarque

The WinRMRemoteWMIUsers_ group allows running Windows PowerShell commands remotely whereas the Remote Management Users group is generally used to allow users to manage servers by using the Server Manager console.

This security group was introduced in Windows Server 2012, and it has not changed in subsequent versions.

Attribute

Valeur

Well-Known SID/RID

S-1-5-21--1000

Type

Domain local

Default container

CN=Users, DC=, DC=

Default members

Aucun

Default member of

Aucun

Protected by ADMINSDHOLDER?

Non

Safe to move out of default container?

Oui

Safe to delegate management of this group to non-Service admins?

Default User Rights

Aucun

Voir également

Security Principals Technical Overview

Special Identities

<! – ->

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.