Содержание

Группы безопасности Active Directory — Windows security


  • Статья

  • Чтение занимает 54 мин


  • 1 участник



Были ли сведения на этой странице полезными?




Да



Нет



Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.


Отправить

В этой статье

Относится к:

  • Windows Server 2016 и более поздние версии
  • Windows10 или более поздней версии

Этот раздел справки для ИТ-специалистов описывает группы безопасности Active Directory по умолчанию.

В Active Directory существует два типа основных субъектов безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют физические объекты (человека или компьютер). Учетные записи пользователей также можно использовать в качестве выделенных учетных записей служб для некоторых приложений. Группы безопасности используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые подразделения.

В операционной Windows Server есть несколько встроенных учетных записей и групп безопасности, заранее настроенных с соответствующими правами и разрешениями для выполнения определенных задач. В Active Directory существует два типа административных обязанностей:

  • администраторы служб отвечают за обслуживание и доставку доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS;

  • администраторы данных отвечают за обслуживание данных, хранящихся в AD DS, а также на серверах в составе домена и на рабочих станциях.

Группы Active Directory

Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые подразделения. Работа с группами вместо отдельных пользователей упрощает обслуживание и администрирование сетей.

В Active Directory существует два типа групп:

  • группы рассылки используются для создания списков рассылки электронной почты;

  • группы безопасности используется для назначения разрешений общим ресурсам.

Группы рассылки

Группы рассылки можно использовать только с приложениями электронной почты (например, Exchange Server) для отправки электронной почты группам пользователей. Группы рассылки не поддерживают функции безопасности, то есть их невозможно указать в списках избирательного управления доступом (DACL).

Группы безопасности

С помощью групп безопасности можно эффективно назначать доступ к ресурсам в сети. С помощью групп безопасности можно выполнять следующие действия:

  • Назначать права пользователей группам безопасности в Active Directory.

    Права пользователей назначаются группе безопасности, чтобы определить, что могут делать члены этой группы в области домена или леса. Права пользователей автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль пользователя в домене.

    Например, пользователь, добавленный в группу «Операторы архива» в Active Directory, может создавать резервные копии и восстанавливать файлы и каталоги, находящиеся на каждом контроллере домена в данном домене. Это возможно, поскольку группе «Операторы архива» по умолчанию автоматически назначаются права пользователей Резервное копирование файлов и каталогов и Восстановление файлов и каталогов. Следовательно, члены этой группы наследуют права пользователей, которые назначены этой группе.

    Можно использовать групповую политику, чтобы назначать права пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в статье Назначение прав пользователей.

  • Назначение группам безопасности разрешений для ресурсов.

    Разрешения отличаются от прав пользователей. Разрешения назначаются группе безопасности в отношении какого-либо общего ресурса. Разрешения определяют, кто может получить доступ к этому ресурсу, а также устанавливают уровень доступа, например «Полный доступ». Некоторые разрешения, настраиваемые для объектов домена, назначаются автоматически, чтобы предоставить различные уровни доступа группам безопасности по умолчанию, таким как «Операторы учетных записей» или «Администраторы домена».

    Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов. При назначении разрешений для ресурсов (файловых ресурсов, принтеров и т. д.) администраторы должны назначать разрешения группе безопасности, а не отдельным пользователям. Достаточно однократно назначить разрешения группе, нет необходимости многократно назначать разрешения каждому пользователю по отдельности. Каждая учетная запись, добавленная в группу, получает права, назначенные этой группе в Active Directory. Пользователь получает разрешения, определенные для этой группы.

Группы безопасности, как и группы рассылки, можно использовать в сущностей электронной почты. При отправке сообщения электронной почты группе сообщение отправляется всем ее участникам.

Область группы

Группы характеризуются областью, которая определяет применение этой группы к дереву домена или к лесу. Область группы определяет сферу предоставления разрешений для группы. В Active Directory определяются три следующие области групп:

Примечание

Помимо этих трех областей, группы по умолчанию в контейнере Builtin относятся к области «Локальная в Builtin». Эту область группы и тип группы невозможно изменить.

В следующей таблице перечислены три области групп и дополнительные сведения о каждой из областей для групп безопасности.

Области групп

Область применения Возможные участники Преобразование области Может предоставлять разрешения Возможный участник
Универсальный Учетные записи из любого домена в одном и том же лесу

Глобальные группы из любого домена в одном и том же лесу

Другие универсальные группы из любого домена в одном и том же лесу

Можно преобразовать в

локальную в домене, если группа не является членом каких-либо других универсальных групп

Можно преобразовать в глобальную область, если группа не содержит другие универсальные группы

В любом домене в одном и том же лесу или в доверяющих лесах Другие универсальные группы в одном и том же лесу

Домен

Локальные группы в одном и том же лесу или доверяющих лесах

Локальные группы на компьютерах в одном и том же лесу или в доверяющих лесах

Глобальная Учетные записи из одного и того же домена

Другие глобальные группы из этого же домена

Можно преобразовать в глобальную область, если группа не является членом другой глобальной группы В любом домене в одном и том же лесу или в доверяющих доменах или лесах Универсальные группы из любого домена в одном и том же лесу

Другие глобальные группы из этого же домена

Локальные в домене группы из любого домена в этом же лесу или из любого доверяющего домена

Локальная в домене Учетные записи из любого домена или любого доверенного домена

Глобальные группы из любого домена или любого доверенного домена

Универсальные группы из любого домена в одном и том же лесу

Другие локальные в домене группы из этого же домена

Учетные записи, глобальные группы и универсальные группы из других лесов и из внешних доменов

Можно преобразовать в универсальную область, если группа не содержит другие группы, локальные в домене В этом же домене Другие локальные в домене группы из этого же домена

Локальные группы на компьютерах в одном и том же домене, кроме встроенных групп с известными ИД безопасности

Особые группы удостоверений

Особые удостоверения обычно называются группами. Особые группы удостоверений не имеют определенного участия, которое можно было бы изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. Некоторые из таких групп: «Создатель и владелец», «Пакет» и «Прошедший проверку пользователь».

Сведения обо всех особых группах удостоверений см. в статье Особые удостоверения.

Группы безопасности по умолчанию

Группы по умолчанию, такие как «Администраторы домена», автоматически создаются при создании домена Active Directory. Можно использовать эти готовые группы, чтобы удобнее управлять доступом к общим ресурсам и делегировать определенные административные роли, действующие в пределах всего домена.

Многим группам по умолчанию автоматически назначается набор прав пользователей, благодаря которым участники группы могут выполнять определенные действия в домене, например, входить в локальную систему или создавать резервные копии файлов и папок. Например, член группы «Операторы архива» может выполнять операции резервного копирования для всех контроллеров домена в данном домене.

При добавлении пользователя в какую-либо группу этот пользователь получает все права пользователей, назначенные этой группы, а также все разрешения, назначенные этой группе в отношении всех общих ресурсов.

Группы по умолчанию находятся в контейнерах Builtin и Users в инструменте «Пользователи и компьютеры Active Directory». Контейнер Builtin включает группы, определяемые областью «Локальная в домене». Контейнер Users включает группы, определяемые областями «Глобальная» и «Локальная в домене». Группы, находящиеся в этих контейнерах, можно перемещать в другие группы и подразделения в пределах домена, но невозможно перемещать их в другие домены.

Некоторые административные группы, перечисленные в этом разделе и являющиеся участниками этих групп, защищены фоновым процессом, который периодически проверяет наличие определенного дескриптора безопасности и применяет его. Этот дескриптор представляет собой структуру данных, которая содержит сведения безопасности, связанные с защищенным объектом. Такой процесс гарантирует, что в случае любой успешной несанкционированной попытки изменить дескриптор безопасности одной из административных учетных записей или групп, измененный дескриптор будет перезаписан защищенными параметрами.

Дескриптор безопасности присутствует в объекте AdminSDHolder. Это означает, что если нужно изменить разрешения одной из групп администраторов службы или любую учетную запись участников этой группы, необходимо изменить дескриптор безопасности объекта AdminSDHolder, чтобы обеспечить его согласованное применение. Соблюдайте осторожность при внесении таких изменений, поскольку при этом вы также меняете параметры по умолчанию, которые будут применены ко всем защищенным административным учетным записям.

Группы безопасности Active Directory по умолчанию в зависимости от версии операционной системы

В следующих таблицах описаны группы по умолчанию, находящиеся в контейнерах Builtin и Users в каждой операционной системе.

Операторы помощи по управлению доступом

Участники этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.

Группа «Операторы помощи по управлению доступом» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-579
Тип Локальная в Builtin
Контейнер по умолчанию CN=BuiltIn, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Операторы учетных записей

Группа «Операторы учетных записей» предоставляет пользователю ограниченные разрешения для создания учетных записей. Участники этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных групп и глобальных групп. Участники этой группы могут выполнять локальный вход на контроллеры доменов.

Участники группы «Операторы учетных записей» не могут управлять учетной записью «Администратор», учетными записями администраторов, а также групп Администраторы, Операторы серверов, Операторы учетных записей, Операторы архива и Операторы печати. Участники этой группы не могут изменять права пользователей.

Группа «Операторы учетных записей» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Примечание

По умолчанию в этой встроенной группе нет участников. Она может создавать пользователей и группы в домене и управлять ими, включая собственное членство и членство группы «Операторы серверов». Эта группа считается группой администратора службы, поскольку она может изменять группу «Операторы серверов», которая, в свою очередь, может изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустой и не использовать ее для делегированного администрирования. Эту группу невозможно переименовать, удалить или переместить.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-548
Тип Локальная в Builtin
Контейнер по умолчанию CN=BuiltIn, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Разрешить локальный вход в систему: SeInteractiveLogonRight

Администраторы

Участники группы «Администраторы» имеют полный и неограниченный доступ к компьютеру. Если компьютер повышен до контроллера домена, то участники этой группы имеют неограниченный доступ к домену.

Группа «Администраторы» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Примечание

Группа «Администраторы» обладает встроенными возможностями, которые предоставляют ее участникам полный контроль над системой. Эту группу невозможно переименовать, удалить или переместить. Эта встроенная группа управляет доступом ко всем контроллерам домена в своем домене и может изменять членство всех административных групп.

Членство может быть изменено членами следующих групп: администраторами служб по умолчанию, администраторы домена или администраторы предприятия. Эта группа может стать владельцем любого объекта в каталоге или любого ресурса в контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее участники имеют полный доступ к контроллерам домена в данном домене.

Эта группа безопасности была изменена следующим образом после Windows Server 2008:

Группа разрешенной репликации паролей RODC

Эта группа безопасности предназначена для управления политикой репликации паролей в контроллерах домена только для чтения. По умолчанию в этой группе нет участников, поэтому новые контроллеры доменов только для чтения не кэшируют учетные данные пользователей. Группа запрещенной репликации паролей RODC содержит учетные записи и группы безопасности с очень высоким уровнем привилегий. Группа запрещенной репликации паролей RODC заменяет группу разрешенной репликации паролей RODC.

Группа разрешенной репликации паролей RODC применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-571
Тип Локальная в домене
Контейнер по умолчанию CN=Users DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Операторы архива

Участники группы «Операторы архива» могут создавать резервные копии и восстанавливать все файлы на компьютере вне зависимости от разрешений, защищающих эти файлы. Операторы архива также могут войти в систему и завершать работу компьютера. Эту группу невозможно переименовать, удалить или переместить. По умолчанию в этой встроенной группе нет участников. Она может выполнять операции резервного копирования и восстановления для контроллеров домена. Членство может быть изменено следующими группами: администраторы служб по умолчанию, «Администраторы домена» в данном домене и «Администраторы предприятия». Эта группа не может изменять членство административных групп. Участники этой группы не могут изменять параметры серверов или конфигурацию каталогов, но они обладают необходимыми разрешениями для замены файлов (включая файлы операционной системы) в контроллерах домена. Поэтому участники этой группы считаются администраторами служб.

Группа «Операторы архива» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Доступ к службе сертификатов DCOM

Участникам этой группы разрешено подключаться к центрам сертификации на предприятии.

Группа «Доступ к службе сертификатов DCOM» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-<домен>-574
Тип Локальная в домене
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Издатели сертификатов

Участники группы «Издатели сертификатов» могут публиковать сертификаты для объектов пользователей в Active Directory.

Группа «Издатели сертификатов» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-517
Тип Локальная в домене
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Группа запрещенной репликации паролей RODC
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Клонируемые контроллеры домена

Участники группы «Клонируемые контроллеры домена», являющиеся контроллерами домена, могут быть клонированы. В Windows Server 2012 R2 и в Windows Server 2012 можно развертывать контроллеры домена, копируя существующий виртуальный контроллер домена. В виртуальной среде больше нет необходимости многократно развертывать образ сервера, подготовленный с помощью программы sysprep.exe, повышать сервер до уровня контроллера домена, а затем выполнять требования по дополнительной настройке для развертывания каждого контроллера домена (включая добавление виртуального контроллера домена в эту группу безопасности).

Дополнительные сведения см. в статье Введение в виртуализацию доменных служб Active Directory (уровень 100).

Эта группа безопасности появилась в Windows Server 2012 и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-522
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Операторы шифрования

Участники этой группы имеют право на выполнение операций шифрования. Эта группа безопасности появилась в Windows Vista с пакетом обновления 1 (SP1) для настройки брандмауэра Windows для IPsec в режиме общих критериев.

Группа «Операторы шифрования» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности появилась в операционной системе Windows Vista с пакетом обновления 1 (SP1) и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-32-569
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Группа запрещенной репликации паролей RODC

Пароли участников группы запрещенной репликации паролей RODC не могут быть реплицированы в любые контроллеры домена только для чтения.

Эта группа безопасности предназначена для управления политикой репликации паролей в контроллерах домена только для чтения. Эта группа содержит ряд учетных записей с высоким уровнем привилегий и групп безопасности. Группа запрещенной репликации паролей RODC заменяет группу разрешенной репликации паролей RODC.

Эта группа безопасности была изменена следующим образом после Windows Server 2008:

Владельцы устройств

Эта группа в настоящее время не используется в Windows.

Корпорация Майкрософт не рекомендует изменять конфигурацию по умолчанию, когда в этой группе нет участников. Изменение конфигурации по умолчанию может помешать работе будущих сценариев, использующих эту группу.

Группа «Владельцы устройств» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Пользователи DCOM

Участникам группы «Пользователи DCOM» разрешено запускать, активировать и использовать объекты модели DCOM на компьютере. Модель COM Майкрософт — это независимая от платформы распределенная объектно-ориентированная система для создания двоичных компонентов программного обеспечения, которые могут взаимодействовать друг с другом. Модель DCOM дает возможность распространять приложения между расположениями так, чтобы это было наиболее удобно для вас и для приложений.. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO).

Группа «Пользователи DCOM» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-562
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

DnsUpdateProxy

Участники группы DnsUpdateProxy являются клиентами DNS. Им разрешено выполнять динамические обновления от имени других клиентов (например, DHCP-серверов). DNS-сервер может разрабатывать устаревшие записи ресурсов при настройке сервера DHCP, чтобы динамически регистрировать записи ресурсов узлов хостов (A) и указателей (PTR) от имени клиентов DHCP с помощью динамического обновления. Для устранения этого сценария можно добавить клиентов в эту группу безопасности.

Тем не менее, чтобы обеспечить защиту от незащищенных записей или чтобы разрешить участникам группы DnsUpdateProxy регистрировать записи в зонах, где разрешены только защищенные динамические обновления, нужно создать выделенную учетную запись пользователя и настроить DHCP-серверы, чтобы динамически обновлять DNS, используя учетные данные этой учетной записи (имя пользователя, пароль и домен). Несколько серверов DHCP могут использовать учетные данные одной выделенной учетной записи пользователя. Эта группа существует только в случае, если роль сервера DNS установлена или ранее была установлена на контроллере домена в данном домене.

Дополнительные сведения см. в статье Владение записями DNS и группа DnsUpdateProxy.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-<переменный RI>
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

DnsAdmins

Участники группы DNSAdmins имеют доступ к сведениями DNS сети. Разрешения по умолчанию: «Разрешить» — «Чтение», «Запись», «Создание всех дочерних объектов», «Удаление дочерних объектов», «Особые разрешения». Эта группа существует только в случае, если роль сервера DNS установлена или ранее была установлена на контроллере домена в данном домене.

Дополнительные сведения о безопасности и DNS см. в статье DNSSEC в Windows Server 2012.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-<переменный RI>
Тип Локальная в Builtin
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Администраторы домена

Участники группы безопасности «Администраторы домена» имеют право управлять доменом. По умолчанию группа «Администраторы домена» администраторов домена входит в группу «Администраторы» на всех компьютерах, присоединенных к домену, включая контроллеры домена. Группа «Администраторы домена» по умолчанию является владельцем любого объекта, созданного в Active Directory для домена любым участником этой группы. Если участники этой группы создают другие объекты, например файлы, то владельцем по умолчанию является группа «Администраторы».

Группа «Администраторы домена» домена управляет доступом ко всем контроллерам домена в данном домене и может изменять членство всех административных учетных записей в этом домене. Членство может быть изменено участниками групп администраторов служб в своем домене («Администраторы» и «Администраторы домена»), а также участниками группы «Администраторы предприятия». Эта учетная запись считается учетной записью администратора службы, поскольку ее участники обладают полным доступом к контроллерам домена в данном домене.

Группа «Администраторы домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Компьютеры домена

Эта группа может включать все компьютеры и серверы, присоединенные к домену, кроме контроллеров домена. По умолчанию любая созданная учетная запись компьютера автоматически становится участником этой группы.

Группа «Компьютеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-515
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Все компьютеры, присоединенные к домену, кроме контроллеров домена
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да (но не требуется)
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Да
Права пользователей по умолчанию Нет

Контроллеры домена

Группа «Контроллеры домена» может включать все контроллеры домена в данном домене. В эту группу автоматически добавляются новые контроллеры домена.

Группа «Контроллеры домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-516
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Учетные записи компьютеров для всех контроллеров домена в данном домене
Участник по умолчанию Группа запрещенной репликации паролей RODC
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Нет
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Гости домена

Группа «Гости домена» включает встроенную учетную запись домена «Гость». Когда участники этой группы входят в систему на присоединенном к домену компьютеру в качестве локальных гостей, на локальном компьютере создается профиль домена.

Группа «Гости домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-514
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Гость
Участник по умолчанию Гости
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Можно перемещать, но не рекомендуется
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию См. Гости

Пользователи домена

Группа «Пользователи домена» домена включает все учетные записи пользователей в домене. При создании учетной записи пользователя в домене эта учетная запись автоматически добавляется в эту группу.

По умолчанию любая учетная запись пользователя, созданная в домене, автоматически становится участником этой группы. Эту группу можно использовать для представления всех пользователей в домене. Например, если вы хотите, чтобы у всех пользователей домена был доступ к принтеру, можно назначить этой группе разрешения для принтера (или добавить группу «Пользователи домена» домена в локальную группу на сервере печати, обладающую разрешениями для принтера).

Группа «Пользователи домена» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-513
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Администратор
krbtgt
Участник по умолчанию Пользователи
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию См. Пользователи

Администраторы предприятия

Группа «Администраторы предприятия» существует только в корневом домене в лесу доменов Active Directory. Это универсальная группа, если домен в собственном режиме; это глобальная группа, если домен в смешанном режиме. Участники этой группы могут вносить изменения в Active Directory в пределах всего леса, например добавлять дочерние домены.

По умолчанию единственным участником этой группы является учетная запись администратора для корневого домена леса. Эта группа автоматически добавляется в группу «Администраторы» в каждом домене леса, она предоставляет полный доступ для настройки всех контроллеров домена. Участники этой группы могут изменять членство всех административных групп. Членство может изменяться только группами администраторов служб по умолчанию в корневом домене. Эта учетная запись считается учетной записью администратора службы.

Группа «Администраторы предприятия» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<корневой домен>-519
Тип Универсальная (если домен в собственном режиме), в противном случае глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Администратор
Участник по умолчанию Администраторы
Группа запрещенной репликации паролей RODC
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию См Администраторы

См. Группа запрещенной репликации паролей RODC

Администраторы ключей предприятия

Участники этой группы могут выполнять административные действия для объектов ключей в лесу.

Группа «Администраторы ключей предприятия» появилась в Windows Server 2016.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-527
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Корпоративные контроллеры домена только для чтения

Участники этой группы являются контроллерами домена только для чтения на предприятии. Контроллер домена только для чтения содержит все объекты Active Directory и все атрибуты, которые содержит доступный для записи контроллер домена, кроме паролей учетных записей. При этом невозможно вносить изменения в базу данных, хранящуюся в контроллере домена только для чтения. Необходимо внести изменения на доступном для записи контроллере домена, а затем реплицировать изменения в контроллер домена только для чтения.

Контроллеры домена только для чтения могут решать некоторые распространенные проблемы, возникающие в офисах филиалов. В этих расположениях может не быть контроллера домена. В других случаях там может быть доступный для записи контроллер домена, но может не быть средств физической безопасности, пропускной способности сети и квалифицированных сотрудников для его поддержки.

Дополнительные сведения см. в статье Что такое RODC?.

Группа «Корпоративные контроллеры домена только для чтения» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<корневой домен>-498
Тип Универсальный
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию?
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Читатели журналов событий

Участники этой группы могут читать журналы событий с локальных компьютеров. Эта группа создается, когда сервер становится контроллером домена.

Группа «Читатели журналов событий» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-573
Тип Локальная в домене
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Владельцы и создатели групповой политики

Эта группа может создавать, редактировать и удалять объекты групповой политики в домене. По умолчанию единственным участником этой группы является администратор.

Сведения о других функциях, которые можно использовать с этой группой безопасности, см. в статье Обзор групповой политики.

Группа «Владельцы и создатели групповой политики» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-520
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Администратор
Участник по умолчанию Группа запрещенной репликации паролей RODC
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Нет
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию См. Группа запрещенной репликации паролей RODC

Гости

Доступ у участников группы «Гости» по умолчанию такой же, как у участников группы «Пользователи», но для гостевых учетных записей действуют дополнительные ограничения. Единственный участник этой группы по умолчанию — учетная запись «Гость». Группа «Гости» дает возможность случайным или однократным пользователям входить с ограниченными привилегиями во встроенную учетная запись «Гость» компьютера.

При выходе члена группы «Гости» весь профиль удаляется. Удаляются все данные, хранящиеся в каталоге %userprofile%, включая сведения о кусте реестра пользователя, настраиваемые значки рабочего стола и прочие параметры пользователя. Это означает, что гости должны использовать временный профиль для входа в систему. Эта группа безопасности взаимодействует с параметром групповой политики Запретить вход пользователей с временными профилями, если он включен. Путь к этому параметру:

Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей

Примечание

Учетная запись «Гость» по умолчанию является участником группы безопасности «Гости». Пользователи, у которых нет настоящей учетной записи в домене, могут использовать учетную запись «Гость». Пользователи, учетная запись которых отключена (но не удалена), также могут использовать учетную запись «Гость».

Учетная запись «Гость»не требует пароля. Устанавливать права и разрешения для учетной записи «Гость» можно таким же образом, как и для любой учетной записи пользователя. По умолчанию учетная запись «Гость» входит в встроенную группу «Гости» и в глобальную группу «Гости домена», что позволяет пользователю входить в домен. Учетная запись «Гость» по умолчанию отключена. Рекомендуется не включать ее.

Группа «Гости» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-546
Тип Локальная в Builtin
Контейнер по умолчанию CN=BuiltIn, DC=<домен>, DC=
Участники по умолчанию Гости домена
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Администраторы Hyper-V

Участники группы «Администраторы Hyper-V» имеют полный и неограниченный доступ ко всем функциям в Hyper-V. Добавление участников в эту группу поможет помогает сократить численность группы «Администраторы» и разграничить доступ в будущем.

Примечание

До Windows Server 2012 доступ к функциям Hyper-V частично контролировался членством в группе «Администраторы».

Эта группа безопасности появилась в Windows Server 2012 и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-32-578
Тип Локальная в Builtin
Контейнер по умолчанию CN=BuiltIn, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

IIS_IUSRS

IIS_IUSRS — это встроенная группа, которая используется службами Internet Information Services с IIS 7. 0. Операционная система всегда гарантирует предоставление уникального SID встроенной учетной записи и группе. IIS 7.0 заменяет учетную запись «IUSR_MachineName» и группу «IIS_WPG» в группе «IIS_IUSRS», чтобы избежать локализации фактических имен, используемых новой учетной записью и группой. Например, независимо от установленного языка операционной системы Windows имя учетной записи IIS всегда будет «IUSR», а имя группы — «IIS_IUSRS».

Дополнительные сведения см. в статье Встроенные учетные записи пользователей и групп в IIS 7.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-568
Тип Локальная в Builtin
Контейнер по умолчанию CN=BuiltIn, DC=<домен>, DC=
Участники по умолчанию IUSR
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию?
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Построители входящего доверия леса

Участники группы «Построители входящего доверия леса» могут создавать одностороннее входящее доверие для этого леса. Active Directory обеспечивает безопасность в нескольких доменах или лесах, используя отношения доверия между доменами и лесами. Перед проверкой подлинности через отношения доверия система Windows должна определить, обладает ли домен, запрошенный пользователем, компьютером или службой, отношением доверия с доменом входа запрашивающей учетной записи.

Чтобы определить это, система безопасности Windows вычисляет путь доверия между контроллером домена сервера, получающего запрос, и контроллером домена, к которому относится домен запрашивающей учетной записи. Защищенный канал охватывает другие домены Active Directory, используя отношения доверия между доменами. Этот защищенный канал используется для получения и проверки сведений безопасности, включая идентификаторы безопасности (SID) для пользователей и групп.

Примечание

Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO).

Дополнительные сведения см. в статье Как работает доверие доменов и лесов: доверие между доменами и лесами.

Группа «Построители входящего доверия леса» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Примечание

Эту группу невозможно переименовать, удалить или переместить.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-557
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Администраторы ключей

Участники этой группы могут выполнять административные действия для объектов ключей в домене.

Группа «Администраторы ключей» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-526
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Операторы конфигурации сети

Участники группы «Операторы конфигурации сети» могут обладать следующими правами администратора для управления конфигурацией сетевых компонентов:

  • изменение свойств TCP/IP для подключения по локальной сети, включая IP-адрес, маску подсети, шлюз по умолчанию и серверы имен;

  • переименование подключений по локальной сети и подключений удаленного доступа, доступных всем пользователям;

  • включение и отключение подключений по локальной сети;

  • изменение свойств всех подключений удаленного доступа пользователей;

  • удаление всех подключений удаленного доступа пользователей;

  • переименование всех подключений удаленного доступа пользователей;

  • выполнение команд ipconfig, ipconfig /release и ipconfig /renew;

  • ввод ключа разблокирования ПИН-кода (PUK) для широкополосных мобильных устройств, поддерживающих SIM-карты.

Примечание

Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO).

Группа «Операторы конфигурации сети» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Примечание

Эту группу невозможно переименовать, удалить или переместить.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-556
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Да
Права пользователей по умолчанию Нет

Пользователи журналов производительности

Участники группы «Пользователи журналов производительности» могут управлять счетчиками производительности, журналами и оповещениями, как локально на сервере, так и с удаленных клиентов. При этом им не требуется быть участниками группы «Администраторы». В частности, участники этой группы безопасности:

  • могут использовать все функции, доступные группе «Пользователи монитора производительности»;

  • могут создавать и изменять наборы сборщиков данных после назначения этой группы права пользователя Вход в качестве пакетного задания;

    Предупреждение

    Если вы являетесь участником группы «Пользователи журналов производительности», вам придется настроить создаваемые вами наборы сборщиков данных, чтобы они выполнялись с вашими учетными данными.

    Примечание

    В Windows Server 2016 и более поздних версий наборы сборщиков данных не могут быть созданы участниками группы «Пользователи журналов производительности».
    Если участник группы «Пользователи журналов производительности» попытается создать наборы сборщиков данных, их создание не будет завершено, поскольку будет запрещен доступ.

  • не могут использовать поставщик событий трассировки ядра Windows в наборах сборщиков данных.

Чтобы участники группы «Пользователи журналов производительности» могли инициировать ведение журнала данных или изменять наборы сборщиков данных, этой группе нужно сначала назначить право пользователя Вход в качестве пакетного задания. Чтобы назначить это право пользователя, используйте оснастку «Локальная политика безопасности» в консоли управления Майкрософт.

Примечание

Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO).

Группа «Пользователи журналов производительности» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Примечание

Эту учетную запись невозможно переименовать, удалить или переместить.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-559
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Да
Права пользователей по умолчанию Вход в качестве пакетного задания: SeBatchLogonRight

Пользователи монитора производительности

Члены этой группы могут отслеживать счетчики производительности на контроллерах домена в данном домене, локально и из удаленных клиентов, не являясь при этом членами групп «Администраторы» или «Пользователи журнала производительности». Монитор производительности Windows — это оснастка консоли управления (MMC), предоставляющая инструменты для анализа производительности системы. На единой консоли можно отслеживать производительность приложений и оборудования, настраивать данные, которые следует собирать в журналах, определять пороговые значения для оповещений и автоматических действий, создавать отчеты, а также различными способами просматривать прошлые данные о производительности.

В частности, участники этой группы безопасности:

  • могут использовать все функции, доступные группе «Пользователи»;

  • могут просматривать данные о производительности в реальном времени в мониторе производительности;

    могут изменять свойства отображения монитора производительности при просмотре данных;

  • не могут создавать и изменять наборы сборщиков данных.

    Предупреждение

    Невозможно настроить выполнение набора сборщиков данных от имени члена группы «Пользователи монитора производительности».

Примечание

Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO). Эту группу невозможно переименовать, удалить или переместить.

Группа «Пользователи монитора производительности» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-558
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Да
Права пользователей по умолчанию Нет

Доступ, совместимый с системами до Windows 2000

Участники группы «Доступ, совместимый с системами до Windows 2000» располагают доступом на чтение ко всем пользователям и группам в домене. Эта группа предоставляется для обратной совместимости для компьютеров под управлением Windows NT 4.0 и более ранних версий. По умолчанию участником этой группы является особая группа удостоверений «Все». Добавляйте пользователей в эту группу лишь в случае, если эти пользователи используют Windows NT 4.0 или более ранние версии.

Предупреждение

Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO).

Группа «Доступ, совместимый с системами до Windows 2000» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-554
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Если выбрать режим разрешений «Совместимость с системами до Windows 2000», участниками будут группы «Все» и «Анонимные». Если выбрать режим разрешений «Только Windows 2000», участником будет группа «Прошедшие проверку пользователи».
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Доступ к этому компьютеру из сети: SeNetworkLogonRight

Обход перекрестной проверки: SeChangeNotifyPrivilege

Операторы печати

Участники этой группы могут создавать и удалять принтеры, подключенные к контроллерам домена в данном домене, а также управлять такими принтерами и предоставлять доступ к ним. Они также могут управлять объектами принтеров Active Directory в домене. Участники этой группы могут локально входить в домен и отключать контроллеры домена в данном домене.

В этой группе нет участников по умолчанию. Участники этой группы могут загружать и выгружать драйверы устройств на всех контроллерах домена в данном домене, поэтому добавлять пользователей в эту группу следует с осторожностью. Эту группу невозможно переименовать, удалить или переместить.

Группа «Операторы печати» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008. Тем не менее, в Windows Server 2008 R2 была добавлена функциональность для управления администрированием печати. Дополнительные сведения см. в статье Назначение делегированного администратора печати и параметров разрешений принтеров в Windows Server 2012.

Атрибут Значение
Известный SID/RID S-1-5-32-550
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Разрешить локальный вход в систему: SeInteractiveLogonRight

Загрузка и выгрузка драйверов устройств: SeLoadDriverPrivilege

Завершение работы системы: SeShutdownPrivilege

Защищенные пользователи

Участникам группы «Защищенные пользователи» предоставляется дополнительная защита от компрометации учетных данных в процессе проверки подлинности.

Эта группа безопасности разработана в рамках стратегии эффективной защиты учетными данными на предприятии и управления учетными данными. К учетным записям участников этой группы автоматически применяется защита, не подлежащая настройке. Участие в группе «Защищенные пользователи» должно быть ограничительным и заблаговременно защищенным по умолчанию. Единственный способ изменить защиту для учетной записи — удалить эту учетную запись из группы безопасности.

Эта глобальная группа, связанная с доменом, запускает ненастраиваемую защиту на устройствах и на главных компьютерах, начиная с операционных систем Windows Server 2012 R2 и Windows 8.1. Кроме того, она запускает ненастраиваемую защиту в контроллерах домена в доменах, в которых основной контроллер домена работает под управлением Windows Server 2012 R2 или Windows Server 2016. За счет этого резко снижается объем памяти, занимаемый учетными данными, когда пользователи входят на компьютеры в сети с нескомпрометированного компьютера.

В зависимости от функционального уровня домена, к которому относится учетная запись, участники группы «Защищенные пользователи» дополнительно защищены из-за изменений поведения методов проверки подлинности, поддерживаемых в Windows.

  • Участники группы «Защищенные пользователи» не могут проходить проверку подлинности с использованием следующих поставщиков поддержки безопасности (SSP): NTLM, дайджест-проверка подлинности, CredSSP. Пароли не кэшируются на устройствах с Windows 8.1 и Windows 10, поэтому такие устройства не могут пройти проверку подлинности в домене, если учетная запись входит в состав группы «Защищенные пользователи».

  • Протокол Kerberos не будет использовать менее стойкие алгоритмы шифрования DES или RC4 в процессе предварительной проверки подлинности. Это означает, что домен должен быть настроен для поддержки алгоритма шифрования AES или более надежного.

  • Невозможно делегировать учетную запись пользователя с использованием ограниченного или неограниченного делегирования Kerberos. Это означает, что возможен сбой прежних подключений к другим системам, если пользователь входит в состав группы «Защищенные пользователи».

  • Значение параметра срока службы предоставления билетов Kerberos ( TGT) по умолчанию, равное четырем часам, настраивается с использованием политик проверки доступа и приемников команд, доступных через центр администрирования Active Directory. Это означает, что через четыре часа пользователю потребуется снова пройти проверку подлинности.

Группа «Защищенные пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа появилась в Windows Server 2012 R2. Дополнительные сведения о работе этой группы см. в статье Группа безопасности «Защищенные пользователи».

В следующей таблице указаны свойства группы «Защищенные пользователи».

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-525
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно ли делегировать управление этой группой пользователям, которые не являются администраторами службы? Нет
Права пользователей по умолчанию Нет

Серверы RAS и IAS

Компьютеры, входящие в состав группы «Серверы RAS и IAS», при правильной настройке могут использовать службы удаленного доступа. По умолчанию в этой группе нет участников. Компьютеры, на которых запущена маршрутизация и служба удаленного доступа, автоматически добавляются в эту группу. Например, это серверы IAS и серверы политики сети. Участники этой группы обладают доступом к определенным свойствам объектов пользователей, таким как ограничения на чтение учетных записей, чтение сведений о входе и чтение сведений об удаленном доступе.

Группа «Серверы RAS и IAS» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-553
Тип Локальная в Builtin
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Да
Права пользователей по умолчанию Нет

Серверы конечных точек RDS

Серверы, являющиеся участниками группы «Серверы конечных точек RDS», могут запускать виртуальные машины и размещать сеансы, на которых запускаются пользовательские удаленные приложения RemoteApp и личные виртуальные рабочие столы. Эта группа должна быть заполнена на серверах с посредником подключений к удаленному рабочему столу. В этой группе должны быть серверы узлов сеансов и серверы узлов виртуализации удаленных рабочих столов.

Сведения о службах удаленных рабочих столов см. в статье Размещение рабочих столов и приложений в службах удаленных рабочих столов.

Эта группа безопасности появилась в Windows Server 2012 и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-32-576
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Серверы управления RDS

С помощью серверов, являющихся участниками группы «Серверы управления RDS», можно выполнять обычные административные действия на серверах со службами удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. В состав этой группы должны входить серверы со службой централизованного управления RDS.

Эта группа безопасности появилась в Windows Server 2012 и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-32-577
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Серверы удаленного доступа RDS

Серверы в группе «Серверы удаленного доступа RDS» предоставляют пользователям доступ к удаленным приложениям RemoteApp и личным виртуальным рабочим столам. В развертываниях, доступных из Интернета, эти серверы обычно развертываются на периметре сети. Эта группа должна быть заполнена на серверах с посредником подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа удаленных рабочих столов, используемые в развертывании, должны быть в этой группе.

Дополнительные сведения см. в статье Размещение рабочих столов и приложений в службах удаленных рабочих столов.

Эта группа безопасности появилась в Windows Server 2012 и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-32-575
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Контроллеры домена только для чтения

Эта группа состоит из контроллеров домена только для чтения в данном домене. Используя контроллер домена только для чтения, организации могут удобно развертывать контроллер домена в ситуациях, когда невозможно гарантировать физическую безопасность, например в офисах филиалов, а также в случаях, когда локальное хранение всех паролей домена считается основной угрозой, например, в экстрасети или при работе с приложениями.

Поскольку администрирование контроллера домена только для чтения может быть делегировано только пользователю или группе безопасности домена, контроллер домена только для чтения хорошо подходит для расположений, в которых нет пользователей, являющихся участниками группы «Администраторы доменов». Контроллер домена только для чтения включает следующие функции:

  • База данных AD DS только для чтения

  • Однонаправленная репликация

  • Кэширование учетных данных

  • Разделение ролей администраторов

  • Служба доменных имен (DNS) только для чтения

Сведения о развертывании контроллеров домена только для чтения см. в статье Планирование и развертывание контроллеров домена только для чтения.

Эта группа безопасности появилась в Windows Server 2008 и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-521
Тип Глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Группа запрещенной репликации паролей RODC
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию См. Группа запрещенной репликации паролей RODC

Пользователи удаленного рабочего стола

Группа «Пользователи удаленного рабочего стола» на сервере узла сеансов удаленных рабочих столов используется, чтобы предоставлять пользователям и группам разрешения для удаленного подключения к серверу узла сеансов удаленных рабочих столов. Эту группу невозможно переименовать, удалить или переместить. Она отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO).

Группа «Пользователи удаленного рабочего стола» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-555
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Да
Права пользователей по умолчанию Нет

Пользователи удаленного управления

Участники группы «Пользователи удаленного управления» могут получать доступ к ресурсам WMI по протоколам управления (например, WS-Management через службу удаленного управления Windows). Это относится только к тем пространствам имен WMI, которые предоставляет доступ пользователям.

Группа «Пользователи удаленного управления» обычно используется, чтобы разрешить пользователям управлять серверами через консоль диспетчера сервера, тогда как группа WinRMRemoteWMIUsers_ позволяет удаленно выполнять команды Windows PowerShell.

Дополнительные сведения см. в статьях Что нового в MI? и Описание WMI.

Эта группа безопасности появилась в Windows Server 2012 и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-32-580
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Репликатор

Компьютеры, входящие в состав группы «Репликатор», поддерживают репликацию файлов в домене. Операционные системы семейства Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа, хранящихся в системном томе (SYSVOL). Каждый контроллер домена сохраняет копию SYSVOL для доступа сетевых клиентов. Служба FRS также может реплицировать данные для распределенной файловой системы (DFS). При этом содержимое каждого участника синхронизируется в наборе реплик, определенном файловой системой DFS. Служба FRS может копировать и обслуживать общие файлы и папки одновременно на нескольких серверах. В случае изменений содержимое мгновенно синхронизируется внутри сайтов. Синхронизация между сайтами осуществляется по расписанию.

Предупреждение

В Windows Server 2008 R2 невозможно использовать FRS для репликации папок DFS и пользовательских данных (не относящихся к SYSVOL). При этом контроллер домена Windows Server 2008 R2 по-прежнему может использовать FRS для репликации содержимого общего ресурса SYSVOL в домене, который использует FRS для репликации общего ресурса SYSVOL между контроллерами домена.

Тем не менее, серверы Windows Server 2008 R2 не могут использовать службу FRS для репликации содержимого любого набора реплик, не относящегося к общему ресурсу SYSVOL. Служба репликации DFS заменяет FRS, ее можно использовать для репликации содержимого общего ресурса SYSVOL, папок DFS и прочих пользовательских данных (не относящихся к SYSVOL). Все наборы реплик FRS, не относящиеся к SYSVOL, необходимо перенести на репликацию DFS. Дополнительные сведения см. в следующих разделах:

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-552
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

Администраторы схемы

Участники группы «Администраторы схемы» могут изменять схему Active Directory. Эта группа существует только в корневом домене леса доменов Active Directory. Это универсальная группа, если домен в собственном режиме; это глобальная группа, если домен в смешанном режиме.

Эта группа может изменять схему в Active Directory. По умолчанию единственным участником этой группы является учетная запись администратора для корневого домена леса. Эта группа располагает полными административным доступом к схеме.

Участие этой группы может быть изменено любой из групп администраторов службы в корневом домене. Эта учетная запись считается учетной записью администратора службы, поскольку ее участники могут изменять схему, которая определяет структуру и содержимое всего каталога.

Дополнительные сведения см. в статье Что такое схема Active Directory?: Active Directory.

Группа «Администраторы схемы» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-21-<корневой домен>-518
Тип Универсальная (если домен в собственном режиме), в противном случае глобальная
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Администратор
Участник по умолчанию Группа запрещенной репликации паролей RODC
Защищено ADMINSDHOLDER? Да
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию См. Группа запрещенной репликации паролей RODC

Операторы серверов

Участники группы «Операторы серверов» могут управлять контроллерами домена. Эта группа существует только на контроллерах домена. По умолчанию в этой группе нет участников. Участники группы «Операторы серверов» могут входить на сервер в интерактивном режиме, создавать и удалять общие сетевые ресурсы, запускать и останавливать службы, делать резервные копии файлов и восстанавливать их, форматировать жесткий диск компьютера, а также завершать работу компьютера. Эту группу невозможно переименовать, удалить или переместить.

По умолчанию в этой встроенной группе нет участников. Она обладает доступом к параметрам конфигурации серверов в контроллерах домена. Ее участие контролируется группами администраторов службы «Администраторы» и «Администраторы домена» в данном домене, а также группой «Администраторы предприятия» в корневом домене леса. Участники этой группы не могут изменять участие в административных группах. Эта учетная запись считается учетной записью администратора службы, поскольку ее участники располагают физическим доступом к контроллерам домена, могут выполнять задачи обслуживания (например, резервное копирование и восстановление), а также могут изменять двоичные файлы, установленные на контроллерах домена. Обратите внимание на права пользователей по умолчанию, указанные в следующей таблице.

Группа «Операторы серверов» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности не изменялась после Windows Server 2008.

Администраторы реплики хранилища

Участники этой группы обладают полным неограниченным доступом ко всем функциям реплики хранилища.

Группа «Администраторы реплики хранилища» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Атрибут Значение
Известный SID/RID S-1-5-32-582
Тип Локальная в Builtin
Контейнер по умолчанию CN=BuiltIn, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Группа системных управляемых учетных записей

Участниками этой группы управляет система.

Группа системных управляемых учетных записей применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Атрибут Значение
Известный SID/RID S-1-5-32-581
Тип Локальная в Builtin
Контейнер по умолчанию CN=BuiltIn, DC=<домен>, DC=
Участники по умолчанию Пользователи
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Серверы лицензирования сервера терминалов

Участники группы «Серверы лицензирования сервера терминалов» могут обновлять информацию о выдаче лицензий в учетных записях пользователей в Active Directory. Эта функция используется, чтобы отслеживать использование клиентских лицензий служб терминалов «на пользователя» и создавать отчеты об использовании таких лицензий. Клиентская лицензия служб терминалов «на пользователя» предоставляет одному пользователю право доступа к серверу терминалов с неограниченного количества клиентских компьютеров и устройств. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO).

Дополнительные сведения об этой группе безопасности см. в статье Конфигурация группы безопасности сервера лицензирования служб терминалов.

Группа «Серверы лицензирования сервера терминалов» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Примечание

Эту группу невозможно переименовать, удалить или переместить.

Эта группа безопасности применяется только к Windows Server 2003 и Windows Server 2008, поскольку в Windows Server 2008 R2 службы терминалов были заменены службами удаленных рабочих столов.

Атрибут Значение
Известный SID/RID S-1-5-32-561
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Защищено ADMINSDHOLDER? Нет
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Да
Права пользователей по умолчанию Нет

Пользователи

Участникам группы «Пользователей» не разрешено производить изменения на уровне всей системы, будь то случайно или намеренно. Участники этой группы могут запускать большинство приложений. После начальной настройки операционной системы единственным участником этой группы становится группа «Прошедшие проверку пользователи». Когда компьютер присоединяется к домену, в группу «Пользователи» на этом компьютере добавляется группа «Пользователи домена».

Пользователи могут выполнять ряд задач, таких как запуск приложений, использование локальных и сетевых принтеров, завершение работы компьютера и блокирование компьютера. Пользователи могут устанавливать только те приложения, которыми им разрешено пользоваться, и только в случае, если программа установки приложения поддерживает установку для отдельных пользователей. Эту группу невозможно переименовать, удалить или переместить.

Группа «Пользователи» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Эта группа безопасности была изменена следующим образом после Windows Server 2008:

  • В Windows Server 2008 R2 в список участников по умолчанию была добавлена группа «INTERACTIVE».

  • В Windows Server 2012 значение по умолчанию для списка Является участником групп изменилось с «Пользователи домена» на «Нет».

Атрибут Значение
Известный SID/RID S-1-5-32-545
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Прошедшие проверку пользователи

Пользователи домена

INTERACTIVE

Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Нет
Права пользователей по умолчанию Нет

Группа доступа к авторизации Windows

Участники этой группы располагают доступом к атрибуту GroupsGlobalAndUniversal вычисляемого маркера объектов User. В некоторых приложениях есть функции, читающие атрибут token-groups-global-and-universal (TGGAU) в объектах учетных записей пользователя или в объектах учетных записей компьютера в доменных службах Active Directory. Некоторые функции Win32 упрощают чтение атрибута TGGAU. Приложения, которые читают этот атрибут или вызывают интерфейс API (в виде ссылки на функцию), читающий этот атрибут, не смогут выполнить эту задачу, если у контекста безопасности вызова нет доступа к этому атрибуту. Эта группа отображается как SID, пока контроллер домена не станет основным контроллером домена, ей принадлежит роль хозяина операций (также используется обозначение «гибкие операции с одним хозяином» или FSMO).

Группа доступа к авторизации Windows применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

Примечание

Эту группу невозможно переименовать, удалить или переместить.

Эта группа безопасности не изменялась после Windows Server 2008.

Атрибут Значение
Известный SID/RID S-1-5-32-560
Тип Локальная в Builtin
Контейнер по умолчанию CN=Builtin, DC=<домен>, DC=
Участники по умолчанию Контроллеры домена предприятия
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Перемещение невозможно
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы? Да
Права пользователей по умолчанию Нет

WinRMRemoteWMIUsers_

В пользовательском интерфейсе Windows 8 и Windows Server 2012 в разделе расширенных параметров безопасности добавлена вкладка Общий доступ. На этой вкладке отображаются свойства безопасности удаленного файлового ресурса. Чтобы просмотреть эти сведения, требуются следующие разрешения и участие в следующих группах в соответствии с версией операционной системы Windows Server на файловом сервере.

Группа «WinRMRemoteWMIUsers_» применяется к версиям операционной системы Windows Server, перечисленным в таблице Группы безопасности Active Directory по умолчанию.

  • Если этот файловый ресурс находится на сервере, работающем под управлением поддерживаемой версии операционной системы:

    • Вы должны быть членом группы WinRMRemoteWMIUsers__ или группы BUILTIN\Administrators.

    • У вас должны быть разрешения на чтение для этого файлового ресурса.

  • Если файловый ресурс размещен на сервере под управлением версии Windows Server, более ранней чем Windows Server 2012:

    • Вы должны быть членом группы BUILTIN\Administrators.

    • У вас должны быть разрешения на чтение для этого файлового ресурса.

В Windows Server 2012 функциональность «Помощь при отказе в доступе» добавляет группу «Прошедшие проверку пользователи» в локальную группу WinRMRemoteWMIUsers__. Поэтому при включенной функциональности «Помощь при отказе в доступе» все прошедшие проверку пользователи, обладающие разрешениями на чтение для файлового ресурса, могут просматривать разрешения этого файлового ресурса.

Примечание

Группа WinRMRemoteWMIUsers_ group дает возможность удаленно выполнять команды Windows PowerShell, тогда как группа Пользователи удаленного управления обычно используется, чтобы предоставить пользователям возможность управлять серверами с помощью консоли диспетчера сервера.

Эта группа безопасности появилась в Windows Server 2012 и не изменялась в последующих версиях.

Атрибут Значение
Известный SID/RID S-1-5-21-<домен>-<переменный RI>
Тип Локальная в домене
Контейнер по умолчанию CN=Users, DC=<домен>, DC=
Участники по умолчанию Нет
Участник по умолчанию Нет
Защищено ADMINSDHOLDER? Нет
Безопасно перемещаться из контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющимся администраторами службы?
Права пользователей по умолчанию Нет

См.

также

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 / 2012R2

Обновлено 25.11.2019

Добрый день! Уважаемые читатели и гости, крупнейшего IT блога России Pyatilistnik.org. Сегодня я хочу посвятить пост на тему безопасности, в локальных системах Microsoft. В целях безопасности встроенную учетную запись Администратор отключают, а в место не создают вою с мудреным логином. Как отключить встроенную учетную запись Администратор, можно прочитать тут. Теперь давайте создадим свою и разберемся, как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 / 2012R2

Открываем редактор групповой политики

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-01

Выбираем нужное подразделение и правым кликом создаем новую политику

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-02

Задаем название политики

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-03

После создания давайте отредактируем политику.

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-04

Идем в конфигурация компьютера-Настройка-Параметры панели управления-Локальные пользователи. Щелкаем правым кликом по пустому месту и выбираем Локальный пользователь

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-05

Выбираем Создать и заполняем все поля. В моем случае логин будет Adminchik и пароль [email protected]

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-06

Дальше добавим его в группу Администраторы, для этого правым кликом Локальная группа

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-07

Сверху ставим Обновить, группу Администраторы и жмем снизу добавить

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-08

Пишем логин нашего пользователя Adminchik и жмем ок.

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-09

Видим, что пользователь добавился, теперь проверим, залогинившись на любой комп из данного OU и обновив политику gpupdate /force и зайдя в локальные пользователи видим что все отлично применилось.

Как создать и добавить локального пользователя (администратора) через групповые политики в windows server 2008R2 — 2012R2-11

Все бы хорошо но такую политику лучше применять один раз и отключать так как данный пароль можно узнать и взломать об этом я расскажу в статье Как узнать пароль локального администратора GPO (GROUPS.XML) в windows server 2008R2/2012R2

Настройка пользователей и групп—Справка | ArcGIS Desktop

Можно импортировать пользователей и группы из активной директории для синхронизации пользователей системы Workflow Manager и пользователей в вашей организации. Например, если в домен добавляется новый сотрудник или один из сотрудников увольняется, можно использовать инструмент Импорт конфигурации Active Directory, которым предоставлен доступ к приложению Workflow Manager.

При импорте пользователей и групп из активной директории создаются любые новые пользователи и группы, если они отсутствовали, обновляются атрибуты (Имя, Номер телефона, Описание) любых существующих элементов и удаляются любые элементы, которые удалены из активной директории. Дополнительно, для каждого пользователя сохраняется принадлежность к группам. Если система настроена на аутентификацию по доменам, она только удаляет пользователей, которые существовали в текущем домене. Кроме того, группы не удаляются при аутентификации против доменов. Пользователей и группы можно импортировать из нескольких доменов, если установлено системное значение Аутентификация пользователей с помощью Домена, и пользователи и группы обновлены для определенного домна.

Группы и пользователи уже должны быть настроены в домене Active Directory вашей организации. В этом сценарии WMXUsers и WMXGroups являются группами Active Directory. Andy, Charlotte и Jason являются пользователями активной директории. В активной директории, участие в группах настаивается, как показано на рисунке (Technicians является участником группы WMXGroups, Andy входит в две группы – WMXUsers и Technicians, и т.д.). При импорте в Workflow Manager, пользователь вводит WMXUsers и WMXGroups в два текстовых поля в диалоговом окне. По завершении импорта Technicians и Managers создаются как группы Workflow Manager, а Andy, Charlotte и Jason создаются как пользователи Workflow Manager. Участие в группах Workflow Manager создаётся на базе участия в группах active directory; поэтому пользователи Workflow Manager Andy и Jason принадлежат группе Специалисты Workflow Manager, а Charlotte принадлежит группе Менеджеры Workflow Manager.

Три метода добавления учетных записей домена в группу локальных администраторов с помощью групповых политик

Этого можно добиться одним из следующих трех методов:

1. Для среды контроллера домена (DC) WIN2003 используйте «группу с ограничениями» политики компьютера.

 

2. Для среды DC WIN2008 / 2008R2 (используйте R2 DC в максимально возможной степени) используйте «локальные пользователи и группы» в настройках конфигурации пользователей.Это используется для автоматического добавления учетной записи для входа в группу локальных администраторов.

3. Для среды DC WIN2008 / 2008R2 (используйте R2 DC в максимально возможной степени) используйте «локальные пользователи и группы» в настройках конфигурации компьютера, чтобы добавить важные группы домена в группу локальных администраторов клиента.

 

Позвольте мне уточнить ниже.

Шаги первого метода очень просты:

.Создайте в домене учетную запись группы test01 \ g1 и добавьте учетную запись домена test01 \ user_1, которая присоединит локальную группу администраторов к группе g1.

. В групповой политике щелкните правой кнопкой мыши «ограниченную группу», чтобы добавить группу, а затем добавьте некоторые элементы в параметры, см. Первое изображение в этой статье.

. Обновите групповую политику клиента домена, и вы увидите, что группа test01 \ g1 автоматически добавляется в группу локальных администраторов, как показано ниже.

 

Второй способ:

Чтобы избежать помех, я создал еще один домен 2008R2 для проверки второго метода.Первоначальные члены локального администратора клиента WINXP03 в этом домене следующие:

Чтобы сделать «Настройки» GPO доступными для клиента, вам необходимо установить Client Extension Set (CSE) на клиенте домена. URL-адрес:

http://technet.microsoft.com/zh-cn/library/cc731892(WS.10).aspx

Выберите соответствующие компоненты для загрузки в соответствии с типом клиентской ОС и установите их в клиенте WINXP03, как показано на следующем рисунке (XMLLite XML устанавливать не требуется):

Начните устанавливать пользовательские элементы конфигурации GPO на 2008R2 и добавьте стратегию работы для локальных администраторов клиента, как показано ниже.

«Обновление» в операции означает обновление членов в группе администраторов клиента домена. «Добавить текущего пользователя» означает добавление учетной записи домена при входе в локальную группу администраторов клиента. Как только учетная запись домена войдет в систему, она будет добавлена ​​к локальному администратору. группа

Теперь войдите в систему и протестируйте с учетной записью домена test02 \ user_1

Политика пользовательских предпочтений вступает в силу, и учетная запись успешно добавляется в группу администраторов.

Давайте посмотрим на результат «Удалить всех пользователей-участников»

Перейдите на учетную запись test02 \ user_2. Очевидно, что ранее добавленная учетная запись user_1 была удалена, а другие учетные записи пользователей, кроме администратора, были удалены (локальный USER1)

 Затем мы продолжаем удалять все группы участников и планируем удалить локального администратора из группы администраторов.

Результаты следующие:

1. Все учетные записи пользователей удаляются из группы администраторов, за исключением текущего пользователя, вошедшего в систему. Таким образом, если несколько учетных записей пользователей домена входят в один и тот же клиент, только последняя учетная запись будет сохранена для присоединения к локальному администратору.Это результат желаемого «динамического» присоединения.

2. Все учетные записи группы удаляются из группы администраторов, включая администраторов домена.

3. Учетная запись администратора — это встроенная учетная запись, поэтому независимо от того, как вы ее настроили, удалить ее нельзя.

Третий способ:

Обновите политику, и вы увидите, что TEST02 \ Domain Admins добавлен в группу локальных администраторов клиента.

Тест приоритета для конфликтующих стратегий:

Затем, чтобы сохранить предыдущие пользовательские настройки, удалите пользователей и группы в настройках компьютера, как показано на рисунке ниже.

Обновите групповую политику, test02 \ user_1 удаляется и добавляется test02 \ Domain Admins. Кажется, что когда настройки компьютера конфликтуют с настройками пользователя, кажется, что он соответствует закону групповой политики «сначала политика компьютера», но подождите минуту. ..

Если я снова выйду из системы и снова войду с учетной записью user_1, я обнаружу, что test02 \ Domain Admins был снова удален. Почему?

Ответ: предпочтения, не обязательно! Другими словами, не только пользователь-клиент может вручную изменить конфигурацию (например, вручную удалить учетную запись домена, добавленную здесь в предпочтении), но также и настройки, выполненные позже, переопределят предыдущие. Это полностью отличается от параметра «политика» в групповой политике.

 

Мы можем еще раз проверить сделанный выше вывод. Если мы перезапустим клиент, а затем не войдем в домен (чтобы не использовались пользовательские настройки), а войдем в систему (в это время вступят в силу только настройки компьютера)

Действуют только настройки компьютера:

Выйдите из системы и войдите в систему с другой учетной записью пользователя домена:

Параметр предпочтений компьютера пропал, замените его настройкой предпочтений пользователя.

Наконец, подведем итоги:

1. Доступно 3 метода: если это управление доменом 03, используйте «ограниченную группу», если это управление доменом 08R2, вы можете использовать настройки компьютера при добавлении групповых учетных записей и пользовательские настройки при добавлении учетных записей пользователей.

2. Не используйте элемент управления доменом Windows 2008, а используйте элемент управления доменом Windows 2008R2, потому что в первом есть ОШИБКА, с которой я сталкивался много раз

3. При настройке предпочтений лучше всего выбрать операцию «обновление», и в предпочтениях пользователя также должен быть установлен пункт «удалить всех пользователей-членов», иначе каждый раз, когда пользователь входит в систему, учетная запись локального администратора будет накапливаться.

4. Предпочтения не являются обязательными. Приоритет предпочтений компьютера не будет выше, чем предпочтения пользователя, в зависимости от того, кто будет выполнять их последним.

5. Лучше не устанавливать одновременно настройки компьютера и пользователя. Вы также можете добавлять группы домена в локальную группу администраторов, используя только последнюю. Если вы используете ее слишком часто, ваш разум легко переборщить.

 

Описание 4 операций, таких как обновление и удаление в настройках предпочтений:

http://technet.microsoft.com/zh-cn/library/cc732525(WS.10).aspx 

 

Еще одна полезная привычка: не определять политику компьютера и политику пользователя в одном объекте групповой политики, а разделить его на два объекта групповой политики, что будет более понятно. Например, определите Sales_Dept_Comp_Pol и Sales_Dept_User_Pol, а затем определите политики компьютера только в первом и втором. Определены только пользовательские политики, и имена будут различаться после обслуживания. Comp_OU и User_OU также разделены. Первый помещает только объекты компьютеров, второй — только объекты пользователей, а групповые политики могут быть сопоставлены по одной, что непросто Безумно!

Эта статья воспроизведена из блога 51CTO, исходная ссылка: http://blog. 51cto.com/itchentao/1554427, если вам нужно перепечатать, пожалуйста, свяжитесь с исходным автором самостоятельно

NET LOCALGROUP — управление локальными группами компьютера

NET LOCALGROUP — управление локальными группами компьютера

Команда NET LOCALGROUP преназначена для добавления, отображения и изменения локальных групп компьютера в операционной системе Windows. Ввод команды NET LOCALGROUP без параметров выводит имя сервера и имена локальных групп компьютера.

Для управления учетными записями пользователей используется команда NET USER, а для управления учетныеми данными пользователей NET ACCOUNTS.

Синтакис команды NET LOCALGROUP

net localgroup [имя_группы [/comment:»текст»]] [/domain]

net localgroup [имя_группы {/add [/comment:»текст»] | /delete} [/domain]]

net localgroup [имя_группы имя [ …] {/add | /delete} [/domain]], где

  • имя_группы — Имя локальной группы для добавления, удаления или раскрытия. При запуске команды net localgroup имя_группы без дополнительных параметров выводится список пользователей или глобальных групп, входящих в локальную группу.
  • /comment:»текст» — Добавление комментария для новой или существующей группы. Длина комментария может составлять до 48 знаков. Текст следует заключать в кавычки.
  • /domain — Выполнении операции на основном контроллере текущего домена. В противном случае операция осуществляется на локальном компьютере.
  • имя [ …] — Список из одного или нескольких имен пользователей или групп для добавления или удаления из локальной группы.
  • /add — Добавление глобальной группы или пользователя в локальную группу. Для пользователей или глобальных групп группы, добавляемых в локальную группу, должны иметься учетные записи.
  • /delete — Удаление группы или пользователя из локальной группы.
  • net help localgroup — Отображение справки для указанной команды net.

Примеры команды NET LOCALGROUP

  • Чтобы вывести список всех локальных групп на локальном сервере, введите: net localgroup;
  • Чтобы добавить локальную группу «Group1» в локальную базу учетных записей пользователей, введите: net localgroup Group1 /add;
  • Чтобы добавить локальную группу «Group1» в базу учетных записей пользователей домена, введите: net localgroup Group1 /add /domain;
  • Чтобы добавить учетные записи существующих пользователей «User1», «User2» и «User3» в группу «Group1» домена, введите: net localgroup Group1 User1 User2 Use3 /add /domain;
  • Чтобы вывести список пользователей локальной группы «Group1», введите: net localgroup Group1;
  • Чтобы добавить комментарий к локальной группе «Group1», введите: net localgroup Group1 /comment:»Руководящий персонал».
Видео — Работа с утилитой NET LOCALGROUP

Защита группы локальных администраторов на каждом компьютере — CyberGuru.ru

Written on . Posted in Администрирование Windows

Если ваша компания схожа с большинством остальных компаний, значит ваши пользователи работают под учетными записями локальных администраторов на своих компьютерах. Существуют решения, способные избавить от такой необходимости, а именно такое направление должны выбрать все компании. Когда пользователи работают от имени учетных записей локальных администраторов, ИТ персонал не контролирует этих пользователей или их компьютеры. Чтобы вы могли защитить группы локальных администраторов на всех компьютерах, вам нужен мощный инструмент. Обычно существует три различных задачи, которые необходимо выполнить для защиты этих групп. Эти задачи мы рассмотрим в данной статье. Windows Server 2008 и Windows Vista SP1 (с установленным RSAT) обладает новыми удивительными органами управления, которые позволяют произвести эти настройки очень быстро!

Задача 1 – удаление доменной учетной записи пользователя

Изначальная задача по защите группы локальных администраторов состоит в том, чтобы убедиться, что ни один пользователь больше не принадлежит к этой группе. Это проще сказать, чем сделать, так как большинство компаний настроили пользовательские учетные записи домена на принадлежность к этой группе во время установки пользовательского компьютера.

Представьте ситуацию, в которой вам удалось решить проблему принадлежности пользователей к группе локальных администраторов, и теперь вам нужно удалить доменные пользовательские учетные записи из группы локальных администраторов на каждом компьютере в вашей среде. У вас есть всего 10,000 настольных компьютеров, лэптопов и удаленных пользователей, поэтому перед вами стоит небольшая задача (ну, да, как бы ни так!).

Если вы создадите сценарий для выполнения этой задачи, вам нужно, чтобы пользователи вышли из системы и затем вошли обратно. Вряд ли такое возможно даже на половине машин, поэтому вам нужен другой вариант.

В качестве идеального решения вы можете использовать локальную группу ‘ привилегии политики групп, чтобы выполнить это задание в течение полутора часов применения. Чтобы выполнить эту работу, вам просто нужно отредактировать объект политики групп (GPO) и настроить следующую политику: конфигурация пользователя \привилегии \настройки панели управления \локальные пользователи и группы \новый \локальная группа, в результате чего у вас откроется диалоговое окно свойств новой локальной группы, как показано на рисунке 1.

 

Рисунок 1: Локальная группа GPP, позволяющая вам контролировать принадлежность к локальной группе администраторов

После того, как вы откроете это окно свойств, просто выберите кнопку «Удалить текущего пользователя». Это удалить все пользовательские учетные записи, которые находятся в пределах управления GPO, содержащего этот параметр. Этот параметр вступит в силу во время следующего фонового обновления групповой политики, что займет менее 90 минут.

Задача 2 – Добавление доменных и локальных администраторов

Следующей фазой вашей защиты группы локальных администраторов будет обеспечение того, чтобы глобальная группа доменных администраторов (Domain Admins) и учетная запись локального администратора были добавлены в группу локальных администраторов на каждом компьютере.

Многие пытались сделать это, используя политику ограниченных групп, которая была в групповой политике Windows Active Directory Group Policy. Проблема этого решения заключается в том, что политика ограниченных групп является политикой ‘удаления и замены’, а не политикой ‘дополнения’. Таким образом, когда вы настраиваете политику на выполнение этой задачи, вы стираете содержимое группы локальных администраторов, заменяя его только этими двумя учетными записями.

Используя политику локальных пользователей и групп, которая была описана в задаче 1, вы не только не можете удалить работающего пользователя, но вы можете добавить две ключевые учетные записи, которые обеспечат соответствующий набор административных привилегий на каждом компьютере, как показано на рисунке 2.

 

Рисунок 2: Добавление учетных записей в группу локальных администраторов – это просто

Задача 3 – Удаление определенных учетных записей

Последняя стадия защиты группы локальных администраторов заключается в том, чтобы включить только нужные учетные записи в эту группу. Во многих случаях были группы из доменов, добавленные в группу локальных администраторов для выполнения определенных задач, завершения проекта или осуществления обслуживания. Если эти группы больше не нужны в группе локальных администраторов, вы можете просто удалить их с помощью новой политики локальных пользователей и групп.

Подобно тому, как вы добавляли две новые учетные записи в задаче 2, вы можете добавлять учетные записи (которые нужно удалить) в политику. Для этого просто выберите опцию ‘Удалить из этой группы’, когда добавите учтенные записи в политику, как показано на рисунке 3.

 

Рисунок 3: Удаление определенных пользователей или групп из группы локальных администраторов возможно

Теперь у вас есть полный контроль над принадлежностью к группе локальных администраторов и даже возможность удаления учетной записи пользователя или группы, которая не должна входить в группу локальных администраторов.

Получение инструмента и правила

Я уже неоднократно говорил об использовании привилегий групповой политики, которые включены в Windows Server 2008 и Vista. Для того чтобы вы смогли воспользоваться этими параметрами, вам нужно иметь что-то из нижеперечисленного в своей сети:

  • Сервер Windows Server 2008
  • Windows Vista SP1, с установленным комплектом инструментов Remote Server Administrative Toolset

Обе этих ОС идут с новой улучшенной консолью управления групповой политикой и редактором управления групповой политики.

Параметры, включенные в новые привилегии групповой политики, можно применять к следующим ОС:

  • Windows XP SP2 и выше
  • Windows Server 2003 SP1 и выше
  • Windows Vista SP1 и выше
  • Windows Server 2008 и выше

Извините, к Windows 2000 не применяется!

Резюме

На 100% верно то, что ИТ персонал не имеет контроля над компьютером там, где пользователь обладает привилегиями локального администратора. Всем компаниям необходимо вернуть контроль над компьютерами, а также защитить группу локальных администраторов. Эти шаги теперь возможно благодаря привилегиям групповой политики, которые включены в Windows Server 2008 и Vista. Вы можете вернуть контроль над компьютером и группой локальных администраторов всего за несколько кликов. Параметры вступят в силу в течение полутора часа на всех машинах, принадлежащих к домену и сети. Пользователям при этом не требуется выходить из системы и входить обратно, параметры политики просто применяются!

Дерек Мелбер (Derek Melber)

azure-docs.ru-ru/assign-local-admin.md at master · MicrosoftDocs/azure-docs.ru-ru · GitHub

title description services ms.service ms.subservice ms.topic ms.date ms.author author manager ms.reviewer ms.collection ms.openlocfilehash ms.sourcegitcommit ms. translationtype ms.contentlocale ms.lasthandoff ms.locfileid

Управление локальными администраторами на устройствах, присоединенных к Azure AD

Сведения о назначении ролей Azure группе локальных администраторов устройства Windows.

active-directory

active-directory

devices

how-to

06/28/2019

joflore

MicrosoftGuyJFlo

daveba

ravenn

M365-identity-device-management

d482f21955b76e6b90523afe3b4933378c91d36e

910a1a38711966cb171050db245fc3b22abc8c5f

MT

ru-RU

03/19/2021

98107367

Чтобы управлять устройством Windows, необходимо быть участником группы локальных администраторов. В рамках процесса присоединения к Azure Active Directory (Azure AD) эта служба обновляет членство этой группы на устройстве. Вы можете настроить обновление членства в соответствии с вашими бизнес-требованиями. Обновление членства полезно, если необходимо, к примеру, чтобы специалисты службы поддержки выполняли задачи, для которых требуются права администратора на устройстве.

В этой статье объясняется, как работает обновление членства локальных администраторов и как его можно настроить во время приподключения к Azure AD. Содержимое этой статьи не относится к гибридным устройствам, присоединенным к Azure AD .

Принцип работы

При подключении устройства Windows к Azure AD с помощью присоединения к Azure AD Azure AD добавляет следующих субъектов безопасности в группу локальных администраторов на устройстве:

  • роль глобального администратора Azure AD;
  • роль администратора устройства Azure AD;
  • пользователь, выполняющий присоединение к Azure AD.

Добавляя роли Azure AD в группу локальных администраторов, в Azure AD можно в любое время обновить пользователей, которые могут управлять устройством, ничего не изменяя на устройстве. Azure AD также добавляет роль администратора устройства Azure AD в группу локальных администраторов для поддержки принципа минимальных привилегий. Кроме глобальных администраторов, можно также позволить управлять устройством пользователям, которым назначена только роль администратора устройства.

Управление ролью глобальных администраторов

Сведения о просмотре и обновлении членства роли глобального администратора см. в следующих статьях:

Управление ролью администратора устройства

На портале Azure на странице Устройства можно управлять ролью администратора устройства. Чтобы открыть страницу Устройства, сделайте следующее:

  1. Войдите на портал Azure как глобальный администратор.
  2. Найдите и выберите Azure Active Directory.
  3. В разделе Управление щелкните Устройства.
  4. На странице Устройства выберите Параметры устройства.

Чтобы изменить роль администратора устройства, настройте параметр Дополнительные локальные администраторы на устройствах, присоединенных к Azure AD.

[!NOTE]
Для этого требуется клиент Azure AD Premium.

Администраторы устройств назначаются для всех устройств, присоединенных к Azure AD. Администраторов устройств нельзя ограничить определенным набором устройств. Обновление роли администратора устройства не обязательно напрямую влияет на затронутых пользователей. На устройствах, где пользователь уже вошел в систему, повышение привилегий происходит, когда выполняются оба следующих действия:

  • До 4 часов в Azure AD передавался новый основной маркер обновления с соответствующими привилегиями.
  • Пользователь входит в систему и снова выполняет вход, а не блокирует или разблокировку, чтобы обновить свой профиль.

[!NOTE]
Указанные выше действия не применяются к пользователям, которые ранее не выполнили вход на соответствующее устройство. В этом случае права администратора применяются сразу же после первого входа на устройство.

Управление привилегиями администратора с помощью групп Azure AD (Предварительная версия)

[!NOTE]
Эта функция в настоящее время находится на стадии предварительной версии.

Начиная с обновления Windows 10 2004, вы можете использовать группы Azure AD для управления правами администратора на устройствах, присоединенных к Azure AD, с политикой MDM с ограниченным доступом к группам . Эта политика позволяет назначать отдельных пользователей или группы Azure AD локальной группе администраторов на устройстве, присоединенном к Azure AD, что обеспечивает детализацию для настройки отдельных администраторов для различных групп устройств.

[!NOTE]
При запуске обновления Windows 10 20h3 рекомендуется использовать политику » Локальные пользователи и группы «, а не политику ограниченных групп.

В настоящее время в Intune нет пользовательского интерфейса для управления этими политиками, и их необходимо настроить с помощью настраиваемых параметров OMA-URI. Некоторые рекомендации по использованию любой из этих политик:

  • Для добавления групп Azure AD с помощью политики требуется идентификатор безопасности группы, который можно получить, выполнив API Microsoft Graph для групп. Идентификатор безопасности определяется свойством securityIdentifier в ответе API.
  • Если политика групп с ограниченным доступом применяется, все текущие члены группы, не входящие в список членов, удаляются. Поэтому применение этой политики с новыми членами или группами приведет к удалению существующих администраторов с именем пользователь, который присоединил устройство, роль администратора устройства и роль глобального администратора на устройстве. Чтобы избежать удаления существующих членов, необходимо настроить их как часть списка членов в политике групп с ограниченным доступом. Это ограничение устраняется при использовании политики локальных пользователей и групп, которая разрешает добавочные обновления для членства в группах.
  • Права администратора, использующие обе политики, оцениваются только для следующих хорошо известных групп на устройстве Windows 10 — администраторы, пользователи, гости, опытные пользователи, удаленный рабочий стол пользователей и пользователей удаленного управления.
  • Управление локальными администраторами с помощью групп Azure AD неприменимо к гибридному присоединению Azure AD или зарегистрированным устройствам Azure AD.
  • Хотя политика ограниченных групп существовала до обновления Windows 10 2004, она не поддерживала группы Azure AD в качестве членов локальной группы администраторов устройства.

Управление обычными пользователями

По умолчанию Azure AD добавляет пользователя, выполняющего присоединение к Azure AD, в группу администраторов на устройстве. Если вы не хотите, чтобы обычные пользователи получали права локальных администраторов, вам доступны следующие варианты:

  • Windows Autopilot предоставляет возможность предотвратить получение обычным пользователем, выполняющим соединение, прав локального администратора. Это можно сделать путем создания профиля Autopilot.
  • Массовая регистрация — присоединение к Azure AD, которое выполняется в контексте массовой регистрации, происходит в контексте автоматически созданного пользователя. Пользователи, вошедшие после присоединения устройства, не добавляются в группу администраторов.

Повышение прав пользователя на устройстве вручную

Помимо использования процесса присоединения к Azure AD можно также вручную повысить права обычного пользователя и предоставить ему права локального администратора на конкретном устройстве. Для выполнения этого шага необходимо быть участником группы локальных администраторов.

Начиная с выпуска Windows 10 1709 эту задачу можно выполнить с помощью параметров учетные записи > — > других пользователей. Выберите Добавить пользователя организации или учебного заведения, введите имя участника-пользователя в поле Учетная запись пользователя и выберите Администратор в разделе Тип учетной записи.

Кроме того, можно также добавить пользователей с помощью командной строки:

  • Если пользователи клиента синхронизированы из локальной службы Active Directory, используйте net localgroup administrators /add "Contoso\username".
  • Если пользователи клиента созданы в Azure AD, используйте net localgroup administrators /add "AzureAD\UserUpn".

Рекомендации

Роль администратора устройства нельзя назначить группам, только отдельным пользователям.

Администраторы устройств назначаются для всех устройств, присоединенных к Azure AD. Их нельзя ограничить определенным набором устройств.

В случае удаления пользователей из роли администратора устройства у них все еще есть привилегии локального администратора на этом устройстве до тех пор, пока они находятся в системе. Привилегия отзывается при следующем входе в систему при выдаче нового первичного маркера обновления. Этот отзыв, аналогичный повышению привилегий, может занять до 4 часов.

Дальнейшие действия

Добавить пользователя в группу локальных администраторов в Windows Server 2012 —

Добавить пользователя в группу локальных администраторов в Windows Server 2012

Последнее обновление:  2020-04-17

Автор: Бенджи Айви


Используйте следующие инструкции, чтобы добавить пользователя в группу локальных администраторов в Microsoft® Windows Server® 2012:

Примечание: Роль администратора автоматически предоставляет вам доступ к серверу по протоколу удаленного рабочего стола (RDP).Вам не нужно назначать группу или роль удаленного рабочего стола администратору.

  1. Откройте меню Пуск и перейдите к команде запуска (или нажмите Windows Key+R ).

  2. Введите lusrmgr.msc , чтобы открыть окно Local User Management .

  3. Выберите папку Users для отображения списка пользователей.

  4. Щелкните правой кнопкой мыши пользователя, которого хотите добавить в группу локальных администраторов, и выберите Свойства .

  5. Перейдите на вкладку Member of и нажмите Добавить .

  6. В текстовом поле введите Администраторы и нажмите Проверить имена . Это действие находит, выделяет и подчеркивает группу администраторов. После просмотра информации нажмите Ok .

  7. Щелкните Ok в окне Свойства , чтобы сохранить изменения.

Для максимальной безопасности ваших администраторов мы настоятельно рекомендуем вам часто менять пароли, чтобы уменьшить любые попытки злоумышленников получить доступ к вашим устройствам или службам.

© 2020 Rackspace US, Inc.

Если не указано иное, содержимое этого сайта находится под лицензией Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License

См. особенности лицензии и ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ

Добавление группы домена в группу локальных администраторов

Идентификатор КБ 0000589 

Проблема

В эти выходные я выполнял школьную миграцию (выход в эфир завтра).Сегодня, когда мы заканчивали работу, мы обнаружили, что клиентскому приложению требуется определенная группа пользователей, чтобы иметь права администратора LOCAL на клиентских машинах.

Я вспомнил, что это можно сделать, и это как-то связано с «Ограниченными группами». Поэтому, когда я вернулся домой, я запустил тестовую сеть и проверил ее на завтра.

Решение

1. Запустите «Пользователи и компьютеры Active Directory» (Пуск > Выполнить > dsa. msc {введите}). Убедитесь, что у вас есть группа безопасности домена (не группа рассылки) с членами домена, которым вы хотите предоставить доступ.

2. На контроллере домена выберите «Пуск» > «Администрирование» > «Управление групповыми политиками» > Найдите подразделение, содержащее компьютеры, которым вы хотите предоставить административные права > Щелкните правой кнопкой мыши > Создать объект групповой политики в этом домене и привяжите его здесь.

Предупреждение : Не создавайте объект групповой политики в подразделении, содержащем серверы или что-либо еще, НЕ чтобы ваши пользователи имели административный доступ.

3. Дайте политике понятное имя.

4. Отредактируйте только что созданную политику.

5. Перейдите к:

Конфигурация компьютера > Параметры Windows > Параметры безопасности > Группы с ограниченным доступом

Щелкните правой кнопкой мыши > Добавить группу.

6. Найдите и найдите группу безопасности вашего домена > OK.

7. В разделе «Эта группа является членом» > Добавить > Добавить в Администраторы > ОК.

8.Применить > ОК

9. Теперь на ваших клиентах группа домена будет добавлена ​​в группу локальных администраторов.

Примечание : для этого может потребоваться перезагрузка или команда «gpupdate /force».

 

Связанные статьи, ссылки, кредиты или внешние ссылки

нет данных

Добавить группу Active Directory в локальную группу администраторов рабочих станций

В этом учебном пособии показано, как добавить группу Active Directory в локальную группу администраторов рабочих станций с помощью групп с ограниченным доступом через групповую политику.Это может быть полезно для временного предоставления пользователю или группе пользователей локального административного доступа к рабочей станции, если эти права требуются для обновления или установки программного обеспечения. Добавляя группу AD в административную группу локальной рабочей станции, вы можете по своему усмотрению удалять пользователей из этой группы в Active Directory.

Имейте в виду, что эта групповая политика будет применяться к каждой рабочей станции в подразделении, которому вы назначаете групповую политику. Будьте предельно осторожны, к каким рабочим станциям вы применяете групповую политику.Кроме того, этот метод следует использовать с осторожностью, а пользователи, добавленные в группу безопасности в Active Directory, должны находиться под наблюдением.

Всего 8 шагов

Шаг 1: Создайте новую группу в Active Directory

Создайте новую группу в Active Directory, которую вы хотите добавить в группу локальных администраторов каждой рабочей станции. В настоящее время НЕ добавляйте пользователей в эту группу.

Шаг 2: Создайте новый объект групповой политики

Создайте новый объект групповой политики и свяжите его с нужной OU. Убедитесь, что используемый вами объект групповой политики охватывает OU, над которым вы хотите предоставить пользователям права локального администратора.

НЕ добавляйте этот объект групповой политики или группу с ограниченным доступом в политику домена по умолчанию. Убедитесь, что OU, к которой вы применяете этот объект групповой политики, охватывает только те рабочие станции, на которых вы хотите предоставить затронутым пользователям права локального администратора.

Шаг 3. Отредактируйте только что созданный объект групповой политики

.

Перейдите в только что созданном объекте групповой политики к Конфигурации компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Группы с ограниченным доступом.

Шаг 4. Добавьте новую группу Active Directory в группу с ограниченным доступом

Щелкните правой кнопкой мыши папку «Группы с ограниченным доступом» и выберите «Добавить группу», чтобы добавить новую группу Active Directory в группу с ограниченным доступом. В поле «Группа» введите имя только что созданной группы Active Directory и нажмите «ОК»

.

Шаг 5. Добавьте группу с ограниченным доступом в локальную группу администраторов

В окне «Свойства группы с ограниченным доступом» нажмите «Добавить» в разделе «Эта группа является членом:» Введите «Администраторы» (без кавычек, да, во множественном числе) в окне «Членство в группе» и нажмите «ОК»

Шаг 6. Дождитесь применения обновлений GPO к рабочим станциям

После того, как ваши пользователи получат обновленные параметры групповой политики, каждая рабочая станция в указанной вами организационной единице будет иметь вашу новую группу Active Directory в качестве члена группы локальных администраторов.Если вам нужно принудительно обновить объект групповой политики на определенной рабочей станции, запустите «gpupdate /force» в командном окне на этой рабочей станции.

Шаг 7.

Добавьте пользователя или группу пользователей в группу ограниченного доступа Active Directory

Когда вы будете готовы или вам потребуется предоставить права администратора локальной рабочей станции, вы можете просто добавить пользователей или группу пользователей в группу Active Directory, которую вы создали для использования с группами с ограниченным доступом в консоли управления Active Directory.

Шаг 8. Удалите пользователя или группу пользователей из группы ограниченного доступа AD

Когда пользователю или группе пользователей больше не нужны права локального администратора, просто удалите пользователя (пользователей) из группы Active Directory и попросите пользователя выйти из системы или перезагрузить рабочую станцию.

Этот процесс можно использовать в качестве метода автоматизированного развертывания обновлений программного обеспечения. Некоторые поставщики программного обеспечения имеют механизмы для автоматического развертывания обновлений программного обеспечения, когда пользователь входит в программное обеспечение. Однако во многих случаях эти автоматические установки также предполагают, что все пользователи имеют права локального администратора (что безумие, верно?).

Кроме того, вот руководство, которому я следовал, когда впервые узнал о группах с ограниченным доступом:

http://www.frikelsoft.net/blog/?p=13

Однако важно отметить, что мои шаги не соответствуют этому сообщению в блоге на 100%. Я использовал группу Active Directory вместо того, чтобы просто добавлять пользователей в группу с ограниченным доступом. Использование групп повышает гибкость управления самой группой с ограниченным доступом.Кроме того, если вы добавите пользователя в группу с ограниченным доступом, вам придется вручную обойти каждую рабочую станцию ​​и удалить этого пользователя из локальной группы администраторов. Используя группу, вы можете просто удалить пользователя из группы в Active Directory.

Как добавить пользователя в локальную группу администраторов в Windows Server и Windows 10/8/7

Иногда ПК используется более чем одним человеком. В некоторых случаях всем пользователям необходимо иметь полный доступ к ПК. В таких случаях гостевые учетные записи не работают.Лучшим решением для этого является добавление пользователя в локальную группу администраторов на ПК. В этой статье обсуждается несколько способов решения проблем, связанных с добавлением пользователя в качестве администратора на ПК.

Часть 1. Добавление пользователя (домена) в группу локальных администраторов в Windows Computer Management

Часть 2. Добавление пользователя в локальную группу администраторов с помощью командной строки

Часть 3. Как удалить пользователя из локальной группы администраторов

Дополнительный совет: как добавить пользователя в группу пользователей удаленного рабочего стола/группу пользователей отладчика/группу опытных пользователей

Часть 1.Добавить пользователя (домена) в группу локальных администраторов в Windows Computer Management

Этот метод объясняет действия по добавлению пользователя домена в локальную группу администраторов. Следуйте инструкциям, как указано ниже.

1. Нажмите «R» на клавиатуре вместе с кнопкой Windows, чтобы запустить «Выполнить». В текстовом поле введите «compmgmt.msc» и нажмите «ОК», чтобы запустить «Управление компьютером»

.

2. После запуска «Управление компьютером» перейдите в «Инструменты системы» в левой части панели. Под ним найдите папку «Локальные пользователи и группы».В нем нажмите на папку «Группы».

3. В главном меню появится несколько групп, выберите нужную группу, чтобы добавить члена, в данном случае «Администраторы».

4. Щелкните правой кнопкой мыши группу с именем «Администраторы» и выберите «Добавить в группу» в раскрывающемся меню.

5. Появится всплывающее окно с запросом на подтверждение действия, нажмите «Добавить» из вариантов, а затем нажмите «ОК».

6. На экране появится диалоговое окно с названием «Выбрать группы», чтобы получить дополнительную информацию об учетной записи, которую необходимо настроить.выполните следующие действия, чтобы настроить учетную запись администратора:
В поле «Введите имена объектов для выбора» введите имя учетной записи, будь то пользователь или группа, которую необходимо добавить. Затем нажмите «ОК» для подтверждения.

Если пользователь хочет добавить учетную запись компьютера, ему или ей рекомендуется щелкнуть «Типы объектов». Установите флажок «Компьютеры» и снова нажмите «ОК», чтобы сохранить изменения. Теперь в поле «Введите имена объектов для выбора» введите имя учетной записи компьютера, который необходимо добавить.Затем нажмите «ОК» для подтверждения.

7. Эти шаги добавят учетную запись администратора на ПК. Однако этот метод применим не ко всем версиям Windows, таким как Windows 8 Home edition.

Часть 2. Добавление пользователя в локальную группу администраторов с помощью командной строки

Другой способ добавить пользователей в качестве администратора на ПК — добавить пользователя в группу администраторов cmd. Написание нескольких строк команды в командной строке позволит пользователю добавить больше людей на ПК. Еще одно преимущество этого метода заключается в том, что этот метод применим ко всем выпускам Windows i. е. Виндовс 10/8/7/Виста. Чтобы добавить пользователя в командную строку локальной группы администраторов, требуется командная строка с повышенными правами, а не обычная

1. Чтобы открыть командную строку с повышенными привилегиями, нажмите «X» вместе с клавишей Windows на клавиатуре в случае Windows 10 и 8. В случае Windows 7 или Vista перейдите в «Пуск» и найдите «командная строка» и сделайте щелкните правой кнопкой мыши на том же из результатов поиска. Затем выберите «Запуск от имени администратора» в раскрывающемся меню.

2. Теперь запускается командная строка с повышенными правами.Чтобы узнать имена локальных групп, введите в командной строке следующую команду:

.

«сетевая локальная группа»

3. И нажать «Enter» с клавиатуры

4. Чтобы добавить учетную запись администратора в группу администраторов, используйте следующую команду:

«сетевой администратор локальной группы [имя пользователя] /добавить»

5. И нажмите «Enter». Имя пользователя будет именем учетной записи.

Часть 3. Как удалить пользователя из локальной группы администраторов

Зная, как сделать пользователя администратором Windows 10 теперь, чтобы удалить нежелательные или необоснованные учетные записи из поста администратора, нужно научиться.Процесс удаления учетной записи администратора зависит от версии операционной системы Windows и исходного региона папки учетной записи.

Удалить пользователя из группы локальных администраторов в разделе «Локальные пользователи и группы» (Windows 10):

1. Локальные пользователи и группы доступны только в выпусках Windows 10 Pro, Enterprise и Education.

2. Нажмите «R» на клавиатуре вместе с клавишей Windows, чтобы запустить «Выполнить».

3. В текстовом поле «Выполнить» введите «lusrmgr.msc» и нажмите «ОК». Откроется «Локальные пользователи и группы».

4. Если учетная запись находится в «Группах» в папке «Группы» в «Локальные пользователи и группы», выберите «Группы» на левой боковой панели окна. Свойства» из выпадающего меню. Выберите имя пользователя и нажмите кнопку «Удалить», а затем нажмите «ОК», чтобы подтвердить удаление.

Удалить пользователя из локальной группы администраторов в командной строке (для всех Windows):

1.Откройте командную строку с повышенными привилегиями, чтобы продолжить этот процесс, выполнив следующие действия.

2. Нажмите «X» вместе с клавишей Windows на клавиатуре в случае Windows 10 и 8.

3. В случае Windows 7 или Vista перейдите в «Пуск» и найдите «командную строку» и щелкните правой кнопкой мыши по тому же результату поиска. Затем выберите «Запуск от имени администратора» в раскрывающемся меню.

4. Введите в командной строке указанную ниже команду и нажмите «Enter», чтобы запустить ее:

5.»net localgroup «Группа» «Пользователь»/удалить»

6. «Группа» и «Пользователь» в этой команде должны быть заменены реальными именами группы и пользователя, которые необходимо удалить соответственно.

Дополнительный совет: как добавить пользователя в группу пользователей удаленного рабочего стола/группу пользователей отладчика/группу опытных пользователей

Лучший способ добавить пользователя на удаленный рабочий стол — использовать командную строку. Используйте командную строку с повышенными привилегиями, а затем введите команды, как указано ниже, чтобы добавить пользователя в нужные группы.

Откройте командную строку с повышенными привилегиями, нажав «X» вместе с клавишей Windows на клавиатуре в случае Windows 10 и 8. В случае Windows 7 или Vista перейдите в «Пуск», найдите «командная строка» и щелкните правой кнопкой мыши. на том же из результатов поиска. Затем выберите «Запуск от имени администратора» в раскрывающемся меню. Теперь запускается командная строка с повышенными правами. Введите соответствующие команды, чтобы добавить пользователей в соответствующие группы:

1. Для добавления в группы пользователей удаленного рабочего стола:

«net localgroup «Пользователи удаленного рабочего стола» UserLoginName / add»

2. Чтобы добавить в группу пользователей отладчика:

«net localgroup «Пользователи отладчика» UserLoginName / add»

3. Добавить в группу опытных пользователей:

«net localgroup «Опытные пользователи» UserLoginName / add»

Помимо добавления учетных записей администратора на ПК, есть и другие проблемы, такие как забывание пароля, из-за которых люди сильно страдают. Но с помощью простого инструмента 4WinKey. Это простое программное обеспечение может оказаться очень полезным для решения проблем, связанных с потерей пароля ПК с WINDOWS 10.

Рекомендуемый продукт

  • Сброс/удаление пароля администратора Windows и другого пользователя для локальной/доменной учетной записи.
  • Создайте новую учетную запись локального или доменного администратора, чтобы разблокировать компьютер.
  • Измените пароль своей учетной записи Microsoft в автономном режиме.
  • Полная поддержка Windows 10/8.1/8/7/Vista/XP, Windows Server 2012 (R2)/2008 (R2)/2003 (R2).

Скачать бесплатно

Связанные статьи
2 способа изменить тип учетной записи пользователей в Windows 10
Windows 10 продолжает запрашивать пароль пользователя для входа, как это исправить
Неверный пароль Windows 10, как это исправить

Включите JavaScript, чтобы просматривать комментарии с помощью Disqus.комментарии на базе

Как добавить пользователей в локальную группу администраторов

Групповая политика помогает нам добавлять пользователей и группы Active Directory в локальную группу администраторов на присоединенных к домену серверах и рабочих станциях.

В рамках наших услуг по управлению сервером мы помогаем нашим клиентам регулярно исправлять ошибки, связанные с Windows.

Давайте сегодня обсудим шаги по добавлению пользователей в локальную группу администраторов через GPO и командную строку.

Группа локальных администраторов в домене Active Directory

Когда мы присоединяем компьютер к домену AD, он автоматически добавляет группу администраторов домена в локальную группу администраторов. Кроме того, он также добавляет группу пользователей домена в локальную группу пользователей.

Хотя добавление пользователя или группы в локальную группу безопасности «Администраторы» с помощью оснастки «Локальные пользователи и группы» (lusrmgr.msc) является простым способом, он не всегда удобен.

Microsoft рекомендует использовать следующие группы для разделения административных привилегий в домене AD:

  1. Администраторы домена используются только на контроллерах домена. С точки зрения безопасности для привилегированных учетных записей администратора не рекомендуется выполнять ежедневные административные задачи на рабочих станциях и серверах под учетной записью с привилегиями администратора домена.
  2. Администраторы сервера — это группа, которая позволяет управлять рядовыми серверами домена. Он не должен быть членом группы администраторов домена или локальной группы администраторов на ваших рабочих станциях.
  3. Администраторы рабочих станций — это группа для выполнения административных задач только на рабочих станциях. Не должен быть членом групп администраторов домена и администраторов сервера.
  4. Пользователи домена — это обычные учетные записи пользователей для выполнения типичных офисных операций. У них не должно быть прав администратора на серверах или рабочих станциях.

Предположим, мы хотим предоставить права локального администратора на компьютерах в определенной OU группе сотрудников техподдержки и HelpDesk. Создайте новую группу безопасности в домене с помощью PowerShell и добавьте в нее учетные записи службы технической поддержки:

  New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' - GroupScope Global – PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members Employee1, Employee2, Employee3  

Откройте консоль управления групповой политикой домена (GPMC.msc), создайте новую политику (GPO) AddLocaAdmins и свяжите ее с OU, содержащей компьютеры (в приведенном выше примере «OU=Computers,OU=Munich,OU=DE,DC=woshub,DC=com»).

Групповая политика AD предоставляет два метода управления локальными группами на компьютерах домена.

  • Управление локальными группами с помощью настроек групповой политики
  • Группы с ограниченным доступом

Как добавить пользователей домена в список локальных администраторов через настройки GPO?

Предпочтения групповой политики (GPP) предоставляют наиболее гибкий и удобный способ предоставления прав локального администратора на компьютерах домена через объект групповой политики.

  1. Откройте созданный ранее объект групповой политики AddLocaAdmins в режиме редактирования.
  2. Перейдите в следующий раздел GPO: Конфигурация компьютера -> Настройки -> Настройки панели управления -> Локальные пользователи и группы.
  3. Добавить новое правило (Создать -> Локальная группа)
  4. В поле «Действие» выбрать «Обновить» (это важная опция)
  5. В раскрывающемся списке «Имя группы» выбрать «Администраторы (встроенные)». Даже если эта группа была переименована на компьютере, настройки будут применены к локальной группе «Администраторы» по ее SID — S-1-5-32-544
  6. . Затем нажмите кнопку «Добавить» и выберите группы, которые хотите добавить в группу локальных администраторов (в нашем случае это munWKSAdmins).
  7. Сохраните политику и дождитесь ее применения на рабочей станции. Чтобы применить политику немедленно, запустите эту команду gpupdate /force на пользовательском компьютере.
  8. Откройте оснастку lusrmgr.msc на любом компьютере и проверьте членов локальной группы администраторов. В эту группу будет добавлена ​​только группа munWKSAdmins, а остальные пользователи и группы будут удалены. Мы можем отобразить список локальных администраторов с помощью команды: net localgroup Administrators

Кроме того, мы можем настроить дополнительные (детальные) условия для таргетинга политики на определенные компьютеры с помощью фильтров GPO WMI или таргетинга на уровне элементов.

Перейдите на вкладку «Общие» и проверьте таргетинг на уровне элементов. Нажмите Таргетинг.

Здесь мы можем указать условия, при которых политика будет применяться.

Не добавляйте отдельные учетные записи пользователей в эту политику. Лучше использовать группы безопасности домена. В этом случае для предоставления прав администратора другому сотруднику техподдержки достаточно добавить его в доменную группу и нет необходимости редактировать GPO.

Управление группой локальных администраторов с помощью групп с ограниченным доступом

Политика групп с ограниченным доступом также позволяет добавлять доменные группы/пользователей в локальную группу безопасности на компьютерах.Это старый метод предоставления привилегий локального администратора, который сейчас используется реже (он менее гибкий, чем метод предпочтений групповой политики).

  1. Открытие объекта групповой политики в режиме редактирования
  2. Разверните раздел Конфигурация компьютера -> Политики -> Параметры безопасности -> Группы с ограниченным доступом
  3. В контекстном меню выберите Добавить группу
  4. В следующем окне введите Администраторы и нажмите ОК
  5. Нажмите Добавить в разделе Члены этой группы и укажите группу, которую хотите добавить в локальные админы
  6. Сохраните изменения, примените политику к пользовательским компьютерам и проверьте локальную группу Администраторы. Он должен содержать только ту группу, которую вы указали в политике.

Использование GPO для добавления одного пользователя в локальную группу администраторов на определенном компьютере

Иногда нам может потребоваться предоставить одному пользователю права администратора на определенном компьютере. Например, у нас есть несколько разработчиков, которым время от времени требуются повышенные привилегии для тестирования драйверов, их отладки или установки на свои компьютеры. Не рекомендуется добавлять их в группу администраторов рабочих станций на всех компьютерах.

Для предоставления прав локального администратора на конкретном компьютере можно использовать следующую схему:

Прямо в разделе настроек GPO (Конфигурация компьютера -> Настройки -> Настройки панели управления -> Локальные пользователи и группы) ранее созданной политики AddLocalAdmins создайте новую запись для группы «Администраторы» со следующими настройками:

  • Действие: Обновить
  • Имя группы: Администраторы (встроенные)
  • Описание: «Добавить сотрудника 1 в список локальных администраторов на компьютере mun-dev-wsk21»
  • Members: Add -> employee1
  • Во вкладке Common -> Targeting укажите следующее правило: «NETBIOS-имя компьютера mun—dev-wks24. Это означает, что данная политика будет применяться только к указанному здесь компьютеру.

Также обратите внимание на порядок применения групп на компьютере (столбец Order GPP). Параметры локальной группы применяются сверху вниз (начиная с политики Order 1).

Первая политика GPP (с настройками «Удалить всех пользователей-участников» и «Удалить все группы участников») удаляет всех пользователей/групп из групп локального администратора и добавляет указанную группу домена.

Затем примените дополнительные политики для конкретного компьютера, которые добавляют указанного пользователя к локальным администраторам.

Далее, если мы хотим изменить порядок членства в нашей группе администраторов, используйте кнопки в верхней части консоли GPO Editor.

Добавить пользователя в группу из командной строки

Давайте теперь обсудим, как добавить пользователя в группу из командной строки с помощью команды net localgroup .

Замените UserLoginName точным именем пользователя, чтобы добавить пользователя:

  net localgroup group_name UserLoginName /add  

Кроме того, чтобы добавить пользователя домена в группу локальных пользователей, используйте следующий формат: netgroup

local 90 users имя_домена\имя_пользователя /add

Теперь, чтобы добавить пользователя домена в группу локальных администраторов, используйте следующую команду:

  администраторы net localgroup имя_домена\имя_пользователя /add  

Чтобы добавить пользователя в группу пользователей удаленного рабочего стола:

  net localgroup «Пользователи удаленных рабочих столов» UserLoginName /add  

Затем, чтобы добавить пользователя в группу пользователей отладчика:

  net localgroup «Пользователи отладчика» UserLoginName /add  

Чтобы добавить пользователя в группу опытных пользователей:

  net localgroup "Опытные пользователи" UserLoginName /add  

Чтобы получить список пользователей, принадлежащих к определенной группе, мы можем запустить belo команда w.

  net localgroup group_name  

[Нужна дополнительная помощь, чтобы добавить пользователей в локальную группу администраторов? – Мы доступны 24*7]

Заключение

Короче говоря, мы можем добавлять пользователей в локальную группу администраторов либо через цель групповой политики, либо напрямую через командную строку. Сегодня мы увидели, как наши инженеры службы поддержки добавляют пользователей в локальную группу администраторов.

ПРЕДОТВРАТИТЕ СБОЙ СЕРВЕРА!

Никогда больше не теряйте клиентов из-за низкой скорости сервера! Позвольте нам помочь вам.

Наши специалисты по серверам будут контролировать и обслуживать ваш сервер 24/7, чтобы он оставался молниеносно быстрым и безопасным.

НАЧАТЬ

var google_conversion_label = «owonCMyG5nEQ0aD71QM»;

Как добавить локальных администраторов через GPO (групповую политику)

В каждой организации всегда будет потребность в том, чтобы какие-то администраторы управляли определенным количеством машин в домене. Мы также хотим следовать по пути наименьших привилегий, поэтому использование вашей учетной записи администратора домена (DA) для выполнения повседневных задач администрирования не поможет.Помните, что учетные записи DA следует использовать только для задач, требующих таких привилегий, таких как поиск источников блокировки в Active Directory. Администратор домена не должен использоваться для входа на случайную рабочую станцию ​​или сервер для выполнения определенных задач. По этой причине нам нужна возможность добавлять локальных администраторов через GPO и отдельные привилегии для учетных записей администраторов.

Best Practices — администратор с учетной записью DA должен иметь следующие учетные записи с привилегиями.

  • Администратор домена: Используется для очень ограниченных задач, которые действительно требуют доступа DA.
  • Администратор сервера: Используется для входа на серверы. Эта учетная запись НЕ является администратором домена и не является администратором ни на одной рабочей станции.
  • Администратор рабочей станции: Используется для администрирования рабочих станций конечных пользователей. Эта учетная запись НЕ является администратором домена и не является администратором каких-либо серверов.
  • Обычная учетная запись: Учетная запись, используемая для электронной почты и обычных повседневных задач. Эта учетная запись не является администратором ни на каких серверах или рабочих станциях конечных пользователей.

 
Как правило, я считаю, что обычно легко запомнить, если вы вставите префикс вместе с вашим именем пользователя.

  • da-bsmith: Учетная запись администратора домена.
  • sa-bsmith: Учетная запись администратора сервера.
  • wa-bsmith: Учетная запись администратора рабочей станции.
  • bsmith: Обычный ежедневный аккаунт.

 

Добавление локальных администраторов через GPO (групповая политика)

Таким образом, если у вас еще нет делегированных привилегий, вам потребуется доступ администратора домена для включения или создания групповых политик (как это ни парадоксально). Вот шаги по добавлению локальных администраторов через GPO .

  • Открыть редактор управления групповыми политиками (GPMC)
  • Создайте новый объект групповой политики и назовите его Локальные администраторы — серверы
  • Перейдите к Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Группы с ограниченным доступом . Щелкните правой кнопкой мыши на правой панели и выберите Добавить группу
  • Найдите группу Active Directory, которую вы хотите добавить в качестве локального администратора
  • Выберите Эта группа является членом (#1 ниже) — Этот шаг чрезвычайно важен.Выбор членов этой группы удалит всех текущих администраторов .
  • Выбрать Просмотр (#2)
  • Введите Администраторы (#3) – Примечание. Не забудьте добавить «s» в конце
  • Нажмите Проверьте имена (#4), чтобы убедиться, что они разрешаются, и нажмите OK
  • Закрыть из окна
  • Выделите «Локальные администраторы — политика сервера» и перейдите на вкладку «Сведения». В раскрывающемся списке состояния объекта групповой политики выберите Параметры конфигурации пользователя отключены
  • Окончательный объект групповой политики должен выглядеть так, как показано на моем снимке экрана ниже
  • .

 

Примените групповую политику к своему организационному подразделению

  • Щелкните правой кнопкой мыши предпочитаемое подразделение и выберите Связать существующий объект групповой политики
  • Выберите Локальные администраторы — серверы GPO
  • Закрытие GPMC.

 

Проверка работы вашей групповой политики

  • Войдите на любой сервер в OU, к которому вы применили политику
  • Откройте командную строку или окно Powershell
  • Тип GPUupdate/force
  • Проверьте группу локальных администраторов, и ваша группа должна быть добавлена ​​

 

Добавление локальных администраторов через демо-видео GPO