Описание стандартных групп АД

Взято отсюда:
http://msdn.microsoft.com/ru-ru/library/cc756898(v=ws.10.aspx)
Так же полезно знать:
http://support.microsoft.com/kb/243330/ru

Группы в контейнере Builtin
В данной таблице содержится описание групп, используемых по умолчанию, размещенных в контейнере Builtin, а также перечислены права пользователей, назначенные каждой группе. Полное описание прав пользователей, перечисленных в таблице, см. в разделе Назначение прав пользователя. Сведения о редактировании прав пользователей см. в разделе Изменение параметров безопасности для объекта групповой политики.

Группа Описание Права пользователя по умолчанию
Операторы учета
Члены данной группы могут создавать, изменять и удалять учетные записи пользователей, групп и компьютеров, находящихся в контейнерах Users или Computers и подразделениях домена, за исключением подразделения «Контроллеры домена». Члены этой группы не имеют разрешения на внесение изменений в группы «Администраторы» или «Администраторы домена», а также на изменение учетных записей членов этих групп. Члены этой группы могут осуществлять локальный вход в систему на контроллерах домена в домене и отключать их. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы в домене.
Разрешение локального входа; Завершение работы системы.
Администраторы
Члены этой группы полностью управляют контроллерами домена в домене. По умолчанию, группы «Администраторы домена» и «Администраторы предприятия» являются членами группы «Администраторы». Учетная запись «Администратор» является также членом группы, назначаемым по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине полного контроля членов группы над доменом.
Доступ к компьютеру из сети; Настройка квот памяти для процесса; Архивирование файлов и каталогов; Обход перекрестной проверки; Изменение системного времени; Создание файла подкачки; Отладка программ; Разрешение доверия к учетным записям компьютеров и пользователей при делегировании; Принудительное удаленное завершение работы; Увеличение приоритета диспетчирования; Загрузка и выгрузка драйверов устройств; Разрешение локального входа; Управление аудитом и журналом безопасности; Изменение параметров среды оборудования; Профилирование одного процесса; Профилирование загруженности системы; Отключение компьютера от стыковочного узла; Восстановление файлов и каталогов; Завершение работы системы; Смена владельца файлов или иных объектов.
Операторы архива
Члены этой группы могут архивировать и восстанавливать любые файлы на контроллере домена в зависимости от наличия личных разрешений на эти файлы. «Операторы архива» также могут входить на контроллеры домена и отключать их. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы на контроллерах домена.
Архивация файлов и каталогов; Разрешение локального входа; Восстановление файлов и каталогов; Завершение работы системы.
Гости
По умолчанию, членом этой группы является группа «Гости домена». Учетная запись «Гость» (отключенная по умолчанию) также является членом данной группы, назначенным по умолчанию.
Права пользователя по умолчанию отсутствуют.
Построители доверия входящих лесов (появляются только в корневом домене леса)
Члены этой группы могут создавать входящие, односторонние доверительные отношения лесов с корневым доменом леса. Например, члены этой группы в лесу A могут создать одностороннее входящее доверие лесов из леса B. Одностороннее входящее доверие лесов предоставляет пользователям леса A доступ к ресурсам в лесу B. Членам этой группы назначено разрешение «Создание входящего доверия лесов» в корневом домене леса. Эта группа не имеет членов по умолчанию. Дополнительные сведения о создании доверий лесов см. в разделе Создание доверия леса.
Права пользователя по умолчанию отсутствуют.
Операторы настройки сети
Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP на контроллерах домена в домене. Эта группа не имеет членов по умолчанию.
Права пользователя по умолчанию отсутствуют.
Пользователи системного монитора
Члены этой группы могут наблюдать за счетчиками производительности на контроллерах домена в домене, на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности».
Права пользователя по умолчанию отсутствуют.
Пользователи журналов производительности
Члены этой группы могут управлять счетчиками производительности, журналами и оповещениями на контроллерах домена в домене, на локальном или удаленном компьютере, не являясь при этом участниками группы «Администраторы».
Права пользователя по умолчанию отсутствуют.
Пред-Windows 2000 доступ
Члены этой группы имеют права на чтение на всех пользователях и группах в домене. Эта группа обеспечивает обратную совместимость с компьютерами под управлением Windows NT 4.0 и более ранних версий. По умолчанию членом этой группы является специальная группа «Все». Дополнительные сведения о специальных группах см. в разделе Специальные удостоверения. Добавлять пользователей в эту группу рекомендуется только если они работают на компьютерах под управлением Windows NT 4.0 или более ранних версий.
Вход на данный компьютер из сети; Обход перекрестной проверки.
Операторы печати
Члены этой группы могут управлять, создавать, открывать для общего доступа и удалять принтеры, подключенные к контроллерам домена в домене. Они также могут управлять объектами-принтерами Active Directory в домене. Члены этой группы могут осуществлять локальный вход в систему на контроллерах домена в домене и отключать их. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине прав членов группы на загрузку и выгрузку драйверов устройств на всех контроллерах домена в домене.
Разрешение локального входа; Завершение работы системы.
Пользователи удаленного рабочего стола
Члены этой группы имеют право удаленного входа на контроллеры домена в домене. Эта группа не имеет членов по умолчанию.
Права пользователя по умолчанию отсутствуют.
Репликатор
Эта группа поддерживает функции репликации каталога и используется службой репликации файлов на контроллерах домена в домене. Эта группа не имеет членов по умолчанию. Не добавляйте пользователей в эту группу.
Права пользователя по умолчанию отсутствуют.
Операторы сервера
На контроллерах домена члены этой группы могут интерактивно входить в систему, создавать и удалять общие ресурсы, запускать и останавливать некоторые службы, выполнять резервное копирование и восстановление файлов, форматировать жесткий диск и выключать компьютер. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы на контроллерах домена.
Архивация файлов и каталогов; Изменение системного времени; Принудительное удаленное завершение работы; Разрешение локального входа; Восстановление файлов и каталогов; Завершение работы системы.
Пользователи
Члены этой группу могут выполнять самые распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров и блокировку сервера. По умолчанию членами этой группы являются группы «Администраторы домена», «Прошедшие проверку» и «Интерактивные». Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы.
Права пользователя по умолчанию отсутствуют.
Группы в контейнере «Пользователи»
В данной таблице содержится описание групп, используемых по умолчанию, размещенных в контейнере Users, а также перечислены права пользователей, назначенные каждой группе. Полное описание прав пользователей, перечисленных в таблице, см. в разделе Назначение прав пользователя. Сведения о редактировании прав пользователей см. в разделе Изменение параметров безопасности для объекта групповой политики.

Группа Описание Права пользователя по умолчанию
Издатели сертификатов
Членам этой группы разрешается публиковать сертификаты для пользователей и компьютеров. Эта группа не имеет членов по умолчанию.
Права пользователя по умолчанию отсутствуют.
DnsAdmins (устанавливается вместе с DNS)
Члены этой группы имеют административный доступ к службе сервера DNS. Эта группа не имеет членов по умолчанию.
Права пользователя по умолчанию отсутствуют.
DnsUpdateProxy (устанавливается вместе с DNS)
Члены данной группы являются клиентами DNS и могут выполнять динамические обновления от имени других клиентов, таких как серверы DHCP. Эта группа не имеет членов по умолчанию.
Права пользователя по умолчанию отсутствуют.
Администраторы домена
Члены этой группы полностью контролируют домен. По умолчанию, эта группа является членом группы «Администраторы» на всех контроллерах домена, всех рабочих станциях домена и всех входящих в домен серверов на то время, пока они присоединены к домену. По умолчанию членом этой группы является учетная запись «Администратор». Добавлять членов в эту группу следует с осторожностью по причине полного контроля членов группы над доменом.
Доступ к компьютеру из сети; Настройка квот памяти для процесса; Архивирование файлов и каталогов; Обход перекрестной проверки; Изменение системного времени; Создание файла подкачки; Отладка программ; Разрешение доверия к учетным записям компьютеров и пользователей при делегировании; Принудительное удаленное завершение работы; Увеличение приоритета диспетчирования; Загрузка и выгрузка драйверов устройств; Разрешение локального входа; Управление аудитом и журналом безопасности; Изменение параметров среды оборудования; Профилирование одного процесса; Профилирование загруженности системы; Отключение компьютера от стыковочного узла; Восстановление файлов и каталогов; Завершение работы системы; Смена владельца файлов или иных объектов.
Компьютеры домена
Эта группа содержит все рабочие станции и серверы, соединенные с доменом. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.
Права пользователя по умолчанию отсутствуют.
Контроллеры домена
Эта группа содержит все контроллеры домена в домене.
Права пользователя по умолчанию отсутствуют.
Гости домена
Эта группа содержит всех гостей домена.
Права пользователя по умолчанию отсутствуют.
Пользователи домена
Эта группа содержит всех пользователей домена. По умолчанию любая созданная в домене учетная запись пользователя автоматически становится членом этой группы. Эта группа может быть использована для представления всех пользователей в домене. Например, для обеспечения доступа к принтеру всем пользователям домена можно назначить разрешение на доступ к принтеру этой группе (либо включить группу «Пользователи домена» в локальную группу на сервере печати, имеющую разрешения на доступ к принтеру).
Права пользователя по умолчанию отсутствуют.
Администраторы предприятия (появляются только в корневом домене леса)
Члены этой группы полностью управляют контроллерами домена в лесу. По умолчанию, эта группа является членом группы «Администраторы» на всех контроллерах домена в лесу. По умолчанию членом этой группы является учетная запись «Администратор». Поскольку члены этой группы имеют полный доступ на управление лесом, следует соблюдать осторожность при добавлении в нее новых пользователей.
Доступ к компьютеру из сети; Настройка квот памяти для процесса; Архивирование файлов и каталогов; Обход перекрестной проверки; Изменение системного времени; Создание файла подкачки; Отладка программ; Разрешение доверия к учетным записям компьютеров и пользователей при делегировании; Принудительное удаленное завершение работы; Увеличение приоритета диспетчирования; Загрузка и выгрузка драйверов устройств; Разрешение локального входа; Управление аудитом и журналом безопасности; Изменение параметров среды оборудования; Профилирование одного процесса; Профилирование загруженности системы; Отключение компьютера от стыковочного узла; Восстановление файлов и каталогов; Завершение работы системы; Смена владельца файлов или иных объектов.
Владельцы-создатели групповой политики
Члены этой группы могут изменять групповую политику в домене. По умолчанию членом этой группы является учетная запись «Администратор». Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы в домене.
Права пользователя по умолчанию отсутствуют.
IIS_WPG (устанавливается вместе с IIS)
Группа IIS_WPG является группой рабочего процесса IIS 6.0 (Internet Information Services). Работа IIS 6.0 представляет собой рабочие процессы, обслуживающие определенные пространства имен. Например, www.microsoft.com, — это пространство имени, обслуживаемое одним рабочим процессом, который может быть запущен при помощи личных данных, добавленных к группе IIS_WPG, таких как MicrosoftAccount. Эта группа не имеет членов по умолчанию.
Права пользователя по умолчанию отсутствуют.
Серверы RAS и IAS
Серверам этой группы разрешен доступ к свойствам удаленного доступа пользователей.
Права пользователя по умолчанию отсутствуют.
Администраторы схемы (появляется только в корневом домене леса)
Члены этой группы могут изменять схему Active Directory. По умолчанию членом этой группы является учетная запись «Администратор». Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы в лесу.
Права пользователя по умолчанию отсутствуют.

Яндекс.Метрика