07.12.2011

Active Directory. Группы по умолчанию

В Windows Server создаётся множество локальных групп по умолчанию. Рассмотрим те из них, которым предоставлены права, связанные с управлением Active Directory.

  1. Администраторы предприятия (Enterprise Admins) в контейнере Users корневого домена леса. Эта группа - член группы Администраторы (Administrators) в каждом домене леса; она предоставляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.
  2. Администраторы схемы (Schema Admins) в контейнере Users корневого домена леса. Эта группа имеет полный доступ к схеме AD.
  3. Администраторы (Administrators) в контейнере Builtin каждого домена. Эта группа имеет полный доступ ко всем контроллерам домена и данным в контексте именования домена. Она может изменять членство во всех административных группах домена, а группа Администраторы в корневом домене леса может изменять членство в группах Администраторы предприятия, Администраторы схемы и Администраторы домена. Группа Администраторы в корневом домене леса имеет наибольшие полномочия среди групп администрирования в лесу.
  4. Администраторы домена (Domain Admins) в контейнере Users каждого домена. Эта группа входит в группу Администраторы своего домена. Поэтому она наследует все полномочия группы Администраторы. Кроме того, она по умолчанию входит в локальную группу Администраторы каждого рядового компьютера домена, в результате чего администраторы домена получают в свое распоряжение все компьютеры домена.
  5. Операторы сервера (Server Operators) в контейнере Builtin каждого домена. Эта группа может решать задачи технической поддержки на контроллерах домена. Операторы сервера могут локально входить в систему, запускать и останавливать службы, выполнять резервное копирование и восстановление, форматировать диски, создавать и удалять общие ресурсы, а также завершать работу контроллеров доменов. По умолчанию данная группа не содержит членов.
  6. Операторы учета (Account Operators) в контейнере Builtin каждого домена. Эта группа может создавать, модифицировать и удалять учетные записи пользователей, групп и компьютеров в любом подразделении домена (кроме Domain Controllers), а также в контейнерах Users и Computers. Операторы учета не могут модифицировать учетные записи, включенные в группы Администраторы и Администраторы домена, а также не могут модифицировать эти группы. Операторы учета также могут локально входить на контроллеры домена. По умолчанию эта группа не содержит членов.
  7. Операторы архива (Backup Oprators) в контейнере Builtin каждого домена. Эта группа может выполнять операции резервного копирования и восстановления на контроллерах домена, а также локально входить на КД и завершать их работу. По умолчанию не содержит членов.
  8. Операторы печати (Print Operators)  в контейнере Builtn каждого домена. Может обеспечивать поддержку очередей заданий печати на КД. Также может локально входить на КД и завершать их работу.


Следует с осторожностью относиться к группам по умолчанию, т.к. они как правило имеют более обширные полномочия, чем требуется для большинства делегированных сред, а также применяют защиту своих членов. Например, Операторы учета - защищенная группа. Снять защиту таких групп невозможно. Если пользователь становится членом защищенной группы, модифицируются его списки контроля доступа и они больше не наследуют разрешения своих подразделений. Поэтому рекомендуется не добавлять пользователей в группы, которые по умолчанию не содержат членов.


Информация из книги "Настройка Active Directory Windows Server 2008".

Ссылки:
AD. Группы по умолчанию
Локальные группы по умолчанию

5 комментариев:

  1. Анонимный11.11.2016, 2:06

    спасибо

    ОтветитьУдалить
    Ответы
    1. Пожалуйста! Рад, что читаете и комментируете

      Удалить
  2. Анонимный15.12.2016, 23:32

    Есть вопрос.
    можно ли создать пользователя от имени которого можно было бы на всех серверах запускать и останавливать службы, но при этом данный пользователь не был наделен правами админа.

    ОтветитьУдалить
    Ответы
    1. Давно дело было. Уже точно не вспомню как это делается. Но я уверен, что такая возможность есть. Посмотрите на TechNet или в книгах MS про AD

      Удалить
  3. Анонимный27.01.2017, 8:00

    Можно
    Создай тех учётку в домене без прав, после этого в ГПО укажи что этому пользователю можно logon as service и прилинкуй к OU где лежат сервера.

    ОтветитьУдалить