Anhang B: Privilegierte Konten und Gruppen in Active Directory
Anhang B: Privilegierte Konten und Gruppen in Active Directory
„Privilegierte“ Konten und Gruppen in Active Directory sind diejenigen, denen einflussreiche Rechte, Privilegien und Berechtigungen gewährt werden, die es ihnen ermöglichen, nahezu jede Aktion in Active Directory und auf in die Domäne eingebundenen Systemen auszuführen. In diesem Anhang werden zunächst Rechte, Privilegien und Berechtigungen erörtert, gefolgt von Informationen über die Konten und Gruppen mit den „höchsten Privilegien“ in Active Directory, d. h. die einflussreichsten Konten und Gruppen.
Zusätzlich zu Rechten werden auch Informationen zu vordefinierten und Standardkonten und Gruppen in Active Directory bereitgestellt. Obwohl spezifische Konfigurationsempfehlungen zum Schützen der Konten und Gruppen mit den höchsten Berechtigungen als separate Anhänge bereitgestellt werden, bietet dieser Anhang Hintergrundinformationen, mit denen Sie die Benutzer und Gruppen bestimmen können, auf die Sie sich konzentrieren sollten. Sie sollten dies tun, da sie von Angreifern ausgenutzt werden können, um Ihre Active Directory-Installation zu kompromittieren oder sogar zu zerstören.
Rechte, Privilegien und Berechtigungen in Active Directory
Die Unterschiede zwischen Rechten, Privilegien und Berechtigungen können verwirrend und widersprüchlich sein, auch innerhalb der Dokumentation von Microsoft. In diesem Abschnitt werden einige der Merkmale der einzelnen Begriffe beschrieben, wie sie in diesem Dokument verwendet werden. Diese Beschreibungen dürfen nicht als maßgeblich für andere Microsoft-Dokumentation angesehen werden, da dort diese Begriffe möglicherweise anders verwendet werden.
Rechte und Privilegien
Rechte und Privilegien sind im Grunde die gleichen systemweiten Fähigkeiten, die Sicherheitsprinzipalen wie Benutzern, Diensten, Computern oder Gruppen gewährt werden. Auf Benutzeroberflächen, die typischerweise von IT-Fachleuten verwendet werden, werden diese in der Regel als „Rechte“ oder „Benutzerrechte“ bezeichnet und häufig über Gruppenrichtlinienobjekte zugewiesen. Der folgende Screenshot zeigt einige der häufigsten Benutzerrechte, die Sicherheitsprinzipalen zugewiesen werden können (es stellt das Gruppenrichtlinienobjekt „Standarddomänencontroller“ in einer Windows Server 2012-Domäne dar). Einige dieser Rechte gelten für Active Directory, z. B. das Benutzerrecht Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird, während andere Rechte für das Windows-Betriebssystem gelten, z. B. Ändern der Systemzeit.
Auf Benutzeroberflächen wie der im Gruppenrichtlinienobjekt-Editor werden alle diese zuweisbaren Fähigkeiten allgemein als Benutzerrechte bezeichnet. In der Praxis werden jedoch einige Benutzerrechte programmgesteuert als Rechte bezeichnet, während andere programmgesteuert als Privilegien bezeichnet werden. Tabelle B-1: „Benutzerrechte und Privilegien“ enthält einige der gängigsten zuweisbaren Benutzerrechte und deren programmgesteuerte Konstanten. Obwohl in Gruppenrichtlinie und auf anderen Benutzeroberflächen diese alle als Benutzerrechte bezeichnet werden, werden einige programmgesteuert als Rechte bezeichnet, während andere Privilegien genannt werden.
Weitere Informationen zu den einzelnen in der folgenden Tabelle aufgeführten Benutzerrechten finden Sie über die Links in der Tabelle oder unter Leitfaden zu Bedrohungen und Gegenmaßnahmen: Benutzerrechte in der Anleitung zur Entschärfung von Bedrohungen und Sicherheitsrisiken für Windows Server 2008 R2 auf der Microsoft TechNet-Website. Informationen zu Windows Server 2008 finden Sie unter Benutzerrechte in der Dokumentation zur Entschärfung von Bedrohungen und Sicherheitsrisiken auf der Microsoft TechNet-Website. Zum Stand der Erstellung dieses Dokuments ist eine entsprechende Dokumentation für Windows Server 2012 noch nicht veröffentlicht.
Hinweis
Für die Zwecke dieses Dokuments werden die Begriffe „Rechte“ und „Benutzerrechte“ verwendet, um Rechte und Privilegien zu bestimmen, sofern nicht anders angegeben.
Tabelle B-1: Benutzerrechte und Privilegien
Berechtigungen
Berechtigungen sind Zugriffssteuerungen, die für absicherbare Objekte wie Dateisystem, Registrierung, Dienst und Active Directory-Objekte gelten. Jedes absicherbare Objekt verfügt über eine zugeordnete Zugriffssteuerungsliste (Access Control List, ACL), die Zugriffssteuerungseinträge (Access Control Entries, ACEs) enthält, die Sicherheitsprinzipalen (Benutzern, Diensten, Computern oder Gruppen) die Möglichkeit zum Anwenden verschiedener Vorgänge auf das Objekt gewähren oder verweigern. Beispielsweise enthalten die ACLs für viele Objekte in Active Directory ACEs, die es authentifizierten Benutzern ermöglichen, allgemeine Informationen zu den Objekten zu lesen, ihnen jedoch nicht die Möglichkeit geben, vertrauliche Informationen zu lesen oder die Objekte zu ändern. Mit Ausnahme des in jeder Domäne vordefinierten Gastkontos verfügt jeder Sicherheitsprinzipal, der sich an einem Domänencontroller in einer Active Directory-Gesamtstruktur oder einer vertrauenswürdigen Gesamtstruktur anmeldet und von diesem authentifiziert wird, standardmäßig über die SID (Security Identifier) für authentifizierte Benutzer, die seinem Zugriffstoken hinzugefügt wird. Daher ist der Lesevorgang unabhängig davon erfolgreich, ob ein Benutzer-, Dienst- oder Computerkonto versucht, allgemeine Eigenschaften von Benutzerobjekten in einer Domäne zu lesen.
Wenn ein Sicherheitsprinzipal versucht, auf ein Objekt zuzugreifen, für das keine ACEs definiert sind und das eine SID enthält, die im Zugriffstoken des Prinzipals vorhanden ist, kann der Prinzipal nicht auf das Objekt zugreifen. Wenn ein ACE in der ACL eines Objekts zudem den Eintrag „Verweigern“ für eine SID enthält, die mit dem Zugriffstoken des Benutzers übereinstimmt, hat der ACE des Typs „Verweigern“ im Allgemeinen Vorrang vor einem in Konflikt stehenden ACE des Typs „Zulassen“. Weitere Informationen zur Zugriffssteuerung unter Windows finden Sie unter Zugriffssteuerung auf der MSDN-Website.
In diesem Dokument beziehen sich Berechtigungen auf Fähigkeiten, die Sicherheitsprinzipalen für absicherbare Objekte gewährt oder verweigert werden. Wenn ein Konflikt zwischen einem Benutzerrecht und einer Berechtigung besteht, hat das Benutzerrecht in der Regel Vorrang. Wenn beispielsweise ein Objekt in Active Directory mit einer ACL konfiguriert wurde, die Administratoren jeglichen Lese- und Schreibzugriff auf ein Objekt verweigert, kann ein Benutzer, der Mitglied der Gruppe „Administratoren“ der Domäne ist, kaum Informationen über das Objekt einsehen. Da die Gruppe „Administratoren“ jedoch über das Benutzerrecht „Besitz von Dateien oder anderen Objekten übernehmen“ verfügt, kann der Benutzer einfach den Besitz des betreffenden Objekts übernehmen und dann die ACL des Objekts so umschreiben, dass Administratoren Vollzugriff auf das Objekt erhalten.
Aus diesem Grund wird in diesem Dokument empfohlen, die Verwendung einflussreicher Konten und Gruppen für die alltägliche Verwaltung zu vermeiden und nicht zu versuchen, die Fähigkeiten der Konten und Gruppen einzuschränken. Es ist praktisch nicht möglich, einen entschlossenen Benutzer, der Zugriff auf weitreichende Anmeldeinformationen hat, daran zu hindern, sich mit diesen Anmeldeinformationen Zugriff auf eine absicherbare Ressource zu verschaffen.
Vordefinierte privilegierte Konten und Gruppen
Active Directory ist darauf ausgelegt, die Delegierung der Verwaltung und das Prinzip der geringsten Privilegien bei der Zuweisung von Rechten und Berechtigungen zu erleichtern. „Normale“ Benutzer mit Konten in einer Active Directory-Domäne sind standardmäßig in der Lage, einen Großteil der im Verzeichnis gespeicherten Daten zu lesen, können aber nur einen sehr begrenzten Satz von Daten im Verzeichnis ändern. Benutzern, die zusätzliche Privilegien benötigen, kann die Mitgliedschaft in verschiedenen privilegierten Gruppen gewährt werden, die in das Verzeichnis integriert sind, sodass sie bestimmte Aufgaben im Zusammenhang mit ihren Rollen ausführen können, aber keine Aufgaben ausführen können, die nicht zu ihren Aufgaben gehören.
In Active Directory gibt es drei integrierte Gruppen, die die höchsten Berechtigungsgruppen im Verzeichnis umfassen, sowie eine vierte Gruppe, die Gruppe Schema-Admins (SA):
- Unternehmensadministratoren (EA, Enterprise Admins)
- Domänen-Admins (DA)
- Integrierte Administratoren (BA, Built-in Administrators)
- Schema-Admins (SA)
Die Gruppe Schema-Admins (SA) verfügt über Privilegien, die bei Missbrauch eine ganze Active Directory-Gesamtstruktur beschädigen oder zerstören können. Diese Gruppe ist jedoch in ihren Möglichkeiten stärker eingeschränkt als die Gruppen EA, DA und BA.
Zusätzlich zu diesen vier Gruppen gibt es eine Reihe weiterer vordefinierte und Standardkonten und -gruppen in Active Directory, die jeweils mit Rechten und Berechtigungen zur Ausführung bestimmter Verwaltungsaufgaben ausgestattet sind. In diesem Anhang werden zwar nicht alle vordefinierten Gruppen bzw. Standardgruppen in Active Directory ausführlich besprochen, aber Sie finden hier eine Tabelle mit den Gruppen und Konten, die in Ihren Installationen höchstwahrscheinlich vorkommen werden.
Wenn Sie beispielsweise Microsoft Exchange Server in einer Active Directory-Gesamtstruktur installieren, können zusätzliche Konten und Gruppen in den Containern „Builtin“ und „Users“ in Ihren Domänen erstellt werden. In diesem Anhang werden nur die Gruppen und Konten beschrieben, die in den Containern „Builtin“ und „Users“ in Active Directory basierend auf nativen Rollen und Features erstellt werden. Konten und Gruppen, die durch die Installation von Unternehmenssoftware erstellt werden, sind nicht enthalten.
Organisationsadministratoren
Die Gruppe „Organisations-Admins“ befindet sich in der Stammdomäne der Gesamtstruktur und ist standardmäßig Mitglied der Gruppe „Vordefinierte Administratoren“ in jeder Domäne der Gesamtstruktur. Das Konto „Vordefinierter Administrator“ in der Stammdomäne der Gesamtstruktur ist das einzige Standardmitglied der Gruppe „Organisations-Admins“. Organisations-Admins werden Rechte und Berechtigungen erteilt, dank derer sie gesamtstrukturweite Änderungen vornehmen können. Dies sind Änderungen, die sich auf alle Domänen in der Gesamtstruktur auswirken, z. B. Hinzufügen oder Entfernen von Domänen, Einrichten von Gesamtstruktur-Vertrauensstellungen oder Erhöhen von Gesamtstrukturfunktionsebenen. In einem ordnungsgemäß entworfenen und implementierten Delegierungsmodell ist Mitgliedschaft in der Gruppe „Organisations-Admins“ nur beim ersten Erstellen der Gesamtstruktur oder bei bestimmten gesamtstrukturweiten Änderungen erforderlich, z. B. beim Einrichten einer ausgehenden Gesamtstruktur-Vertrauensstellung.
Die Gruppe „Organisations-Admins“ befindet sich standardmäßig im Container „Users“ in der Stammdomäne und ist eine universelle Sicherheitsgruppe, es sei denn, die Stammdomäne der Gesamtstruktur wird im gemischten Modus von Windows 2000 Server ausgeführt. In diesem Fall ist die Gruppe eine globale Sicherheitsgruppe. Obwohl einige Rechte direkt der Gruppe „Organisations-Admins“ erteilt werden, werden viele Rechte dieser Gruppe tatsächlich von der Gruppe „Organisations-Admins“ geerbt, da sie Mitglied der Gruppe „Administratoren“ in jeder Domäne der Gesamtstruktur ist. Organisations-Admins verfügen über keine Standardrechte auf Arbeitsstationen oder Mitgliedsservern.
Domänenadministratoren
Jede Domäne in einer Gesamtstruktur verfügt über ihre eigene Gruppe „Domänen-Admins“, die Mitglied der Gruppe „Vordefinierte Administratoren“ der jeweiligen Domäne ist, sowie über ein Mitglied der lokalen Gruppe „Administratoren“ auf jedem Computer, der in die Domäne eingebunden ist. Das einzige Standardmitglied der Gruppe „Domänen-Admins“ einer Domäne ist das Konto „Vordefinierter Administrator“ für diese Domäne.
Domänen-Admins haben innerhalb ihrer Domänen weitreichende Rechte, während Organisations-Admins gesamtstrukturweite Privilegien haben. In einem ordnungsgemäß konzipierten und implementierten Delegationsmodell sollte eine Mitgliedschaft in der Gruppe „Domänen-Admins“ nur in Notfallszenarien erforderlich sein, d. h. in Situationen, in denen ein Konto mit einer hohen Privilegienebene auf jedem Computer in der Domäne erforderlich ist, oder wenn bestimmte domänenweite Änderungen vorgenommen werden müssen. Obwohl die nativen Delegierungsmechanismen von Active Directory eine Delegierung in dem Maße erlauben, dass die Verwendung von Domänenadministratorkonten nur in Notfallszenarien möglich ist, kann die Erstellung eines effektiven Delegierungsmodells zeitaufwendig sein, und viele Organisationen nutzen Anwendungen von Drittanbietern, um den Prozess zu beschleunigen.
Die Gruppe „Domänen-Admins“ ist eine globale Sicherheitsgruppe, die sich im Container „Users“ der Domäne befindet. Für jede Domäne in der Gesamtstruktur gibt es eine Gruppe „Domänen-Admins“, und das einzige Standardmitglied einer solchen Gruppe ist das Konto „Vordefinierter Administrator“ der Domäne. Da die Gruppe „Domänen-Admins“ in der Gruppe „Vordefinierte Administratoren“ der Domäne und in der lokalen Gruppe „Administratoren“ aller in die Domäne eingebundenen Systeme geschachtelt ist, verfügen Domänenadministratoren nicht nur über Berechtigungen, die speziell Domänen-Admins erteilt werden. Außerdem erben sie alle Rechte und Berechtigungen, die der Gruppe „Administratoren“ der Domäne und der lokalen Gruppe „Administratoren“ auf allen Systemen erteilt werden, die in die Domäne eingebunden sind.
Administrators
Die Gruppe „Vordefinierte Administratoren“ ist eine lokale Gruppe in der Domäne im Container „Builtin“ einer Domäne, in dem Domänen- und Organisations-Admins geschachtelt sind. Dieser Gruppe werden viele der direkten Rechte und Berechtigungen im Verzeichnis und auf Domänencontrollern gewährt. Die Gruppe „Administratoren“ einer Domäne verfügt jedoch nicht über Berechtigungen auf Mitgliedsservern oder Arbeitsstationen. Über die Mitgliedschaft in der lokalen Gruppe „Administratoren“ von in die Domäne eingebundenen Computern werden lokale Privilegien gewährt. Von den besprochenen Gruppen sind nur Domänenadministratoren standardmäßig Mitglieder der lokalen Gruppe „Administratoren“ aller in die Domäne eingebundenen Computer.
Die Gruppe „Administratoren“ ist eine lokale Gruppe (in der Domäne) im Container „Builtin“ der Domäne. Standardmäßig enthält die Gruppe „Vordefinierte Administratoren“ jeder Domäne das Konto „Vordefinierter Administrator“ der lokalen Domäne, die Gruppe „Domänen-Admins“ der lokalen Domäne und die Gruppe „Organisations-Admins“ der Stammdomäne der Gesamtstruktur. Viele Benutzerrechte in Active Directory und auf Domänencontrollern werden spezifisch der Gruppe „Administratoren“ und nicht Organisations- oder Domänen-Admins gewährt. Die Gruppe „Vordefinierte Administratoren“ einer Domäne verfügt über Vollzugriffsberechtigungen für die meisten Verzeichnisobjekte und kann den Besitz von Verzeichnisobjekten übernehmen. Obwohl den Gruppen „Organisations-Admins“ und „Domänen-Admins“ bestimmte objektspezifische Berechtigungen in der Gesamtstruktur und Domänen gewährt werden, wird ein Großteil der Befugnisse der Gruppen tatsächlich aufgrund ihrer Mitgliedschaft in Gruppen des Typs „Vordefinierte Administratoren“ „geerbt“.
Hinweis
Obwohl dies die Standardkonfigurationen dieser privilegierten Gruppen sind, kann ein Mitglied einer der drei Gruppen das Verzeichnis dahingehend ändern, dass es Mitglied einer der anderen Gruppen wird. In einigen Fällen ist es sehr einfach, in anderen schwieriger zu erreichen, aber aus Perspektive potenzieller Privilegien sollten alle drei Gruppen als gleichwertig betrachtet werden.
Schema-Admins
Die Gruppe „Schema-Admins“ ist eine universelle Gruppe in der Stammdomäne der Gesamtstruktur und enthält nur das Konto „Vordefinierter Administrator“ der jeweiligen Domäne als Standardmitglied, ähnlich wie die Gruppe „Organisations-Admins“. Obwohl die Mitgliedschaft in der Gruppe „Schema-Admins“ es einem Angreifer ermöglichen kann, das Active Directory-Schema zu kompromittieren, das den Rahmen für die gesamte Active Directory-Gesamtstruktur bildet, verfügen Schema-Admins nur über wenige Standardrechte und -berechtigungen, die über das Schema hinausgehen.
Sie sollten die Mitgliedschaft in der Gruppe „Schema-Admins“ sorgfältig verwalten und überwachen. In gewisser Hinsicht ist diese Gruppe jedoch „weniger privilegiert“ als die drei zuvor beschriebenen Gruppen mit den höchsten Privilegien, da der Geltungsbereich ihrer Privilegien sehr eng ist, d. h. Schema-Admins haben keine anderen administrativen Rechte außerhalb des Schemas.
Zusätzliche vordefinierte und Standardgruppen in Active Directory
Um die Delegierung der Verwaltung im Verzeichnis zu erleichtern, enthält Active Directory verschiedene vordefinierte Gruppen und Standardgruppen, denen bestimmte Rechte und Berechtigungen erteilt werden. Diese Gruppen werden in der folgenden Tabelle kurz beschrieben.
In der folgenden Tabelle sind die vordefinierten und Standardgruppen in Active Directory aufgeführt. Beide Arten von Gruppen sind standardmäßig vorhanden. Vordefinierte Gruppen befinden sich jedoch (standardmäßig) im Container „Builtin“ in Active Directory, während sich Standardgruppen (standardmäßig) im Container „Users“ in Active Directory befinden. Die Gruppen im Container „Builtin“ sind alle lokale Gruppen in der Domäne, während die Gruppen im Container „Users“ eine Mischung aus lokalen Gruppen in der Domäne, globalen und universellen Gruppen sind, zusätzlich zu den drei individuellen Benutzerkonten (Administrator, Gast und Krbtgt).
Zusätzlich zu den oben in diesem Anhang beschriebenen Gruppen mit den höchsten Privilegien verfügen einige vordefinierte und Standardkonten und -gruppen über erhöhte Privilegien und sollten ebenfalls geschützt und nur auf sicheren administrativen Hosts verwendet werden. Diese Gruppen und Konten finden Sie in den schattierten Zeilen in Tabelle B-1: Vordefinierte und Standardgruppen und -konten in Active Directory. Da einige dieser Gruppen und Konten mit Rechten und Berechtigungen ausgestattet sind, die missbraucht werden können, um Active Directory oder Domänencontroller zu kompromittieren, gelten für sie zusätzliche Schutzmaßnahmen, wie in Anhang C: Geschützte Konten und Gruppen in Active Directory beschrieben.
Tabelle B-1: Vordefinierte und Standardkonten und Gruppen in Active Directory
| Konto oder Gruppe | Standardcontainer, Gruppenbereich und Typ | Beschreibung und Standardbenutzerrechte |
|---|---|---|
| Zugriffssteuerungs-Unterstützungsoperatoren (Active Directory unter Windows Server 2012) | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf diesem Computer remote abfragen. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Konten-Operatoren | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder können Domänenbenutzer- und Gruppenkonten verwalten. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Administratorkonto | Container „users“ Keine Gruppe |
Vordefiniertes Konto für die Verwaltung der Domäne. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Anpassen von Speicherkontingenten für einen Prozess Lokale Anmeldung zulassen Anmelden über Remotedesktopdienste zulassen Sichern von Dateien und Verzeichnissen Umgehen der Traversierungsüberprüfung Ändern der Systemzeit Ändern der Zeitzone Erstellen einer Auslagerungsdatei Erstellen globaler Objekte Erstellen symbolischer Verknüpfungen Debuggen von Programmen Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Erzwingen des Herunterfahrens von einem Remotesystem Annehmen der Identität eines Clients nach der Authentifizierung Arbeitssatz eines Prozesses vergrößern Anheben der Zeitplanungspriorität Laden und Entfernen von Gerätetreibern Anmelden als Stapelverarbeitungsauftrag Verwalten von Überwachungs- und Sicherheitsprotokollen Verändern der Firmwareumgebungsvariablen Ausführen von Volumewartungsaufgaben Erstellen eines Profils für einen Einzelprozess Erstellen eines Profils der Systemleistung Entfernen des Computers von der Dockingstation Wiederherstellen von Dateien und Verzeichnissen Herunterfahren des Systems Übernehmen des Besitzes an Dateien und Objekten |
| Gruppe „Administratoren“ | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Administratoren haben vollständigen und uneingeschränkten Zugriff auf die Domäne. Direkte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Anpassen von Speicherkontingenten für einen Prozess Lokale Anmeldung zulassen Anmelden über Remotedesktopdienste zulassen Sichern von Dateien und Verzeichnissen Umgehen der Traversierungsüberprüfung Ändern der Systemzeit Ändern der Zeitzone Erstellen einer Auslagerungsdatei Erstellen globaler Objekte Erstellen symbolischer Verknüpfungen Debuggen von Programmen Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Erzwingen des Herunterfahrens von einem Remotesystem Annehmen der Identität eines Clients nach der Authentifizierung Anheben der Zeitplanungspriorität Laden und Entfernen von Gerätetreibern Anmelden als Stapelverarbeitungsauftrag Verwalten von Überwachungs- und Sicherheitsprotokollen Verändern der Firmwareumgebungsvariablen Ausführen von Volumewartungsaufgaben Erstellen eines Profils für einen Einzelprozess Erstellen eines Profils der Systemleistung Entfernen des Computers von der Dockingstation Wiederherstellen von Dateien und Verzeichnissen Herunterfahren des Systems Übernehmen des Besitzes an Dateien und Objekten Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Zulässige RODC-Kennwortreplikationsgruppe | Container „users“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können ihre Kennwörter auf alle schreibgeschützten Domänencontroller in der Domäne replizieren lassen. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Sicherungsoperatoren | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Sicherungsoperatoren können Sicherheitsbeschränkungen lediglich für das Sichern oder Wiederherstellen von Dateien überschreiben. Direkte Benutzerrechte: Lokale Anmeldung zulassen Sichern von Dateien und Verzeichnissen Anmelden als Stapelverarbeitungsauftrag Wiederherstellen von Dateien und Verzeichnissen Herunterfahren des Systems Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Zertifikatherausgeber | Container „users“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe dürfen Zertifikate im Verzeichnis veröffentlichen. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Zertifikatdienst-DCOM-Zugriff | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Wenn „Zertifikatdienste“ auf einem Domänencontroller installiert ist (nicht empfohlen), gewährt diese Gruppe DCOM-Registrierungszugriff auf Domänenbenutzer und -computer. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Klonbare Domänencontroller (AD DS in Windows Server 2012 AD DS) | Container „users“ Globale Sicherheitsgruppe |
Mitglieder dieser Gruppe, die Domänencontroller sind, können geklont werden. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Kryptografie-Operatoren | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder sind autorisiert, kryptografische Vorgänge auszuführen. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Debuggerbenutzer | Dies ist weder eine Standard- noch eine vordefinierte Gruppe, aber wenn sie in AD DS vorhanden ist, ist dies ein Grund für weitere Untersuchungen. | Das Vorhandensein der Gruppe „Debuggerbenutzer“ ist ein Indiz dafür, dass irgendwann einmal Tools zum Debuggen auf dem System installiert wurden, sei es über Visual Studio, SQL, Office oder andere Anwendungen, die eine Umgebung zum Debuggen benötigen und unterstützen. Diese Gruppe lässt Remotezugriff zum Debuggen von Computern zu. Wenn diese Gruppe auf Domänenebene vorhanden ist, bedeutet dies, dass ein Debugger oder eine Anwendung, die einen Debugger enthält, auf einem Domänencontroller installiert wurde. |
| Abgelehnte RODC-Kennwortreplikationsgruppe | Container „users“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können ihre Kennwörter nicht auf schreibgeschützte Domänencontroller in der Domäne replizieren lassen. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| DHCP-Administratoren | Container „users“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe besitzen administrativen Zugriff auf den Dienst „DHCP-Server“. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| DHCP-Benutzer | Container „users“ Domänenlokale Sicherheitsgruppe |
Die Mitglieder dieser Gruppe haben schreibgeschützten Zugriff auf den Dienst „DHCP-Server“. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Distributed COM-Benutzer | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können verteilte COM-Objekte auf dem Computer starten, aktivieren und verwenden. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| DnsAdmins | Container „users“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe besitzen administrativen Zugriff auf den DNS-Serverdienst. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| DnsUpdateProxy | Container „users“ Globale Sicherheitsgruppe |
Mitglieder dieser Gruppe sind DNS-Clients, die dynamische Updates im Auftrag von Clients ausführen dürfen, die selbst keine dynamischen Updates ausführen können. Mitglieder dieser Gruppe sind in der Regel DHCP-Server. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Domänenadministratoren | Container „users“ Globale Sicherheitsgruppe |
Benannte Administratoren der Domäne. „Domänen-Admins“ ist Mitglied der lokalen Gruppe „Administratoren“ auf jedem in die Domäne eingebundenen Computer und erhält die Rechte und Berechtigungen der lokalen Gruppe „Administratoren“ zusätzlich zur Gruppe „Administratoren“ der Domäne. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Anpassen von Speicherkontingenten für einen Prozess Lokale Anmeldung zulassen Anmelden über Remotedesktopdienste zulassen Sichern von Dateien und Verzeichnissen Umgehen der Traversierungsüberprüfung Ändern der Systemzeit Ändern der Zeitzone Erstellen einer Auslagerungsdatei Erstellen globaler Objekte Erstellen symbolischer Verknüpfungen Debuggen von Programmen Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Erzwingen des Herunterfahrens von einem Remotesystem Annehmen der Identität eines Clients nach der Authentifizierung Arbeitssatz eines Prozesses vergrößern Anheben der Zeitplanungspriorität Laden und Entfernen von Gerätetreibern Anmelden als Stapelverarbeitungsauftrag Verwalten von Überwachungs- und Sicherheitsprotokollen Verändern der Firmwareumgebungsvariablen Ausführen von Volumewartungsaufgaben Erstellen eines Profils für einen Einzelprozess Erstellen eines Profils der Systemleistung Entfernen des Computers von der Dockingstation Wiederherstellen von Dateien und Verzeichnissen Herunterfahren des Systems Übernehmen des Besitzes an Dateien und Objekten |
| Domänencomputer | Container „users“ Globale Sicherheitsgruppe |
Alle der Domäne beigetretenen Arbeitsstationen und Server sind standardmäßig Mitglieder dieser Gruppe. Standardmäßige direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Domänencontroller | Container „users“ Globale Sicherheitsgruppe |
Alle Domänencontroller in der Domäne. Hinweis: Domänencontroller sind kein Mitglied der Gruppe „Domänencomputer“. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Domänen-Gäste | Container „users“ Globale Sicherheitsgruppe |
Alle Gäste in der Domäne Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Domänenbenutzer | Container „users“ Globale Sicherheitsgruppe |
Alle Benutzer in der Domäne Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Organisations-Admins (nur in der Stammdomäne der Gesamtstruktur vorhanden) | Container „users“ Universelle Sicherheitsgruppe |
Organisations-Admins haben Berechtigungen zum Ändern der gesamtstrukturweiten Konfigurationseinstellungen. Organisations-Admins sind Mitglied der Gruppe „Administratoren“ in jeder Domäne und erhalten die Rechte und Berechtigungen dieser Gruppe. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Anpassen von Speicherkontingenten für einen Prozess Lokale Anmeldung zulassen Anmelden über Remotedesktopdienste zulassen Sichern von Dateien und Verzeichnissen Umgehen der Traversierungsüberprüfung Ändern der Systemzeit Ändern der Zeitzone Erstellen einer Auslagerungsdatei Erstellen globaler Objekte Erstellen symbolischer Verknüpfungen Debuggen von Programmen Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird Erzwingen des Herunterfahrens von einem Remotesystem Annehmen der Identität eines Clients nach der Authentifizierung Arbeitssatz eines Prozesses vergrößern Anheben der Zeitplanungspriorität Laden und Entfernen von Gerätetreibern Anmelden als Stapelverarbeitungsauftrag Verwalten von Überwachungs- und Sicherheitsprotokollen Verändern der Firmwareumgebungsvariablen Ausführen von Volumewartungsaufgaben Erstellen eines Profils für einen Einzelprozess Erstellen eines Profils der Systemleistung Entfernen des Computers von der Dockingstation Wiederherstellen von Dateien und Verzeichnissen Herunterfahren des Systems Übernehmen des Besitzes an Dateien und Objekten |
| Schreibgeschützte Domänencontroller der Organisation | Container „users“ Universelle Sicherheitsgruppe |
Diese Gruppe enthält die Konten aller schreibgeschützten Domänencontroller in der Gesamtstruktur. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Event Log Readers | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe in können die Ereignisprotokolle auf Domänencontrollern lesen. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Gruppenrichtlinienersteller-Besitzer | Container „users“ Globale Sicherheitsgruppe |
Mitglieder dieser Gruppe können Gruppenrichtlinienobjekte in der Domäne erstellen und ändern. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Gast | Container „users“ Keine Gruppe |
Dies ist das einzige Konto in einer AD DS-Domäne, für das dem Zugriffstoken nicht die SID für authentifizierte Benutzer hinzugefügt wird. Daher sind alle Ressourcen, die für das Erteilen des Zugriffs auf die Gruppe „Authentifizierte Benutzer“ konfiguriert sind, für dieses Konto nicht zugänglich. Dieses Verhalten gilt nicht für Mitglieder der Gruppen „Domänengäste“ und „Gäste“. Den Zugriffstoken der Mitglieder dieser Gruppen ist die SID für authentifizierte Benutzer hinzugefügt. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Gäste | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Gäste haben standardmäßig denselben Zugriff wie Mitglieder der Gruppe Benutzer. Eine Ausnahme ist das Konto „Gast“, das wie oben beschrieben weiter eingeschränkt ist. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Hyper-V-Administratoren (Windows Server 2012) | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder der Gruppe „Hyper-V-Administratoren“ haben vollständigen und uneingeschränkten Zugriff auf alle Features von Hyper-V. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| IIS_IUSRS | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Vordefinierte Gruppe, die von Internetinformationsdienste verwendet wird. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Erstellungen eingehender Gesamtstruktur-Vertrauensstellung (nur in der Stammdomäne der Gesamtstruktur vorhanden) | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können eingehende, unidirektionale Vertrauensstellungen für diese Gesamtstruktur erstellen. (Die Erstellung ausgehender Gesamtstruktur-Vertrauensstellungen ist für Organisations-Admins reserviert.) Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Krbtgt | Container „users“ Keine Gruppe |
Das Konto Krbtgt ist das Dienstkonto für das Kerberos-Schlüsselverteilungscenter in der Domäne. Dieses Konto hat Zugriff auf die Anmeldeinformationen aller Konten, die in Active Directory gespeichert sind. Dieses Konto ist standardmäßig deaktiviert und darf nie aktiviert werden. Benutzerrechte: ohne |
| Netzwerkkonfigurations-Operatoren | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitgliedern dieser Gruppe werden Berechtigungen erteilt, mit denen sie die Konfiguration von Netzwerkfeatures verwalten können. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Leistungsprotokollbenutzer | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können die Protokollierung von Leistungsindikatoren planen, Ablaufverfolgungsanbieter aktivieren und Ereignisablaufverfolgungen lokal und über Remotezugriff auf den Computer sammeln. Direkte Benutzerrechte: Anmelden als Stapelverarbeitungsauftrag Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Systemmonitorbenutzer | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können lokal und remote auf Leistungsindikatordaten zugreifen. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Prä-Windows 2000 kompatibler Zugriff | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Diese Gruppe ist aus Gründen der Abwärtskompatibilität mit Betriebssystemen vor Windows 2000 Server vorhanden und bietet Mitgliedern die Möglichkeit, Benutzer- und Gruppeninformationen in der Domäne zu lesen. Direkte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Auslassen der durchsuchenden Überprüfung Geerbte Benutzerrechte: Hinzufügen von Arbeitsstationen zur Domäne Arbeitssatz eines Prozesses vergrößern |
| Druckoperatoren | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können Domänendrucker verwalten. Direkte Benutzerrechte: Lokale Anmeldung zulassen Laden und Entfernen von Gerätetreibern Herunterfahren des Systems Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| RAS- und IAS-Server | Container „users“ Domänenlokale Sicherheitsgruppe |
Server in dieser Gruppe können Remotezugriffseigenschaften für Benutzerkonten in der Domäne lesen. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| RDS-Endpunktserver (Windows Server 2012) | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Server in dieser Gruppe führen virtuelle Computer und Hostsitzungen aus, auf denen RemoteApp-Programme und persönliche virtuelle Desktops von Benutzer*innen ausgeführt werden. Diese Gruppe muss auf Servern, auf denen RD-Verbindungsbroker ausgeführt wird, Mitglieder enthalten. In der Bereitstellung verwendete RD-Sitzungshostserver und RD-Virtualisierungshostserver müssen sich in dieser Gruppe befinden. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| RDS-Verwaltungsserver (Windows Server 2012) | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Server in dieser Gruppe können routinemäßige Verwaltungsaktionen auf Servern ausführen, auf denen Remotedesktopdienste ausgeführt wird. Diese Gruppe muss auf allen Servern in einer Remotedesktopdienste-Bereitstellung Mitglieder enthalten. Die Server, auf denen der RDS Central Management-Dienst ausgeführt wird, müssen in dieser Gruppe enthalten sein. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| RDS-RAS-Server (Windows Server 2012) | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Server in dieser Gruppe ermöglichen Benutzer*innen von RemoteApp-Programmen und persönlichen virtuellen Desktops Zugriff auf diese Ressourcen. Bei Bereitstellungen mit Internetzugriff werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Diese Gruppe muss auf Servern, auf denen RD-Verbindungsbroker ausgeführt wird, Mitglieder enthalten. In der Bereitstellung verwendete RD-Gatewayserver und RD-Webzugriffsserver müssen sich in dieser Gruppe befinden. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Read-only-Domänencontroller | Container „users“ Globale Sicherheitsgruppe |
Diese Gruppe enthält alle schreibgeschützten Domänencontroller in der Domäne. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Remotedesktopbenutzer | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe sind berechtigt, sich per RDP remote anzumelden. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Remoteverwaltungsbenutzer (Windows Server 2012) | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser können über Verwaltungsprotokolle auf Ressourcen der Windows-Verwaltungsinstrumentation (WMI) zugreifen (z. B. WS-Management über den Dienst „Windows-Remoteverwaltung“). Dies betriff nur WMI-Namespaces, die Benutzer*innen Zugriff gewähren. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Replicator | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Unterstützt die Legacydateireplikation in einer Domäne. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Schema-Admins (nur in der Stammdomäne der Gesamtstruktur vorhanden) | Container „users“ Universelle Sicherheitsgruppe |
Schema-Admins sind die einzigen Benutzer, die Änderungen am Active Directory-Schema vornehmen können, und zwar nur, wenn für das Schema Schreibzugriff aktiviert ist. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Server-Operatoren | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können Domänencontroller verwalten. Direkte Benutzerrechte: Lokale Anmeldung zulassen Sichern von Dateien und Verzeichnissen Ändern der Systemzeit Ändern der Zeitzone Erzwingen des Herunterfahrens von einem Remotesystem Wiederherstellen von Dateien und Verzeichnissen Herunterfahren des Systems Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Terminalserver-Lizenzserver | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe können Benutzerkonten in Active Directory mit Informationen über die Lizenzausstellung aktualisieren, um die Nutzung der Clientzugriffslizenz vom Typ „Pro Benutzer“ für Terminaldienste nachzuverfolgen und zu melden. Standardmäßige direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| Benutzer | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Benutzer haben Berechtigungen, die es ihnen erlauben, viele Objekte und Attribute in Active Directory zu lesen, obwohl sie die meisten nicht ändern können. Benutzer werden daran gehindert, versehentliche oder beabsichtigte systemweite Änderungen vorzunehmen und können die meisten Anwendungen ausführen. Direkte Benutzerrechte: Arbeitssatz eines Prozesses vergrößern Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung |
| Windows-Autorisierungszugriffsgruppe | Container „Builtin“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser Gruppe haben Zugriff auf das berechnete Attribut tokenGroupsGlobalAndUniversal für Objekte des Typs „Benutzer“. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | Container „users“ Domänenlokale Sicherheitsgruppe |
Mitglieder dieser können über Verwaltungsprotokolle auf Ressourcen der Windows-Verwaltungsinstrumentation (WMI) zugreifen (z. B. WS-Management über den Dienst „Windows-Remoteverwaltung“). Dies betriff nur WMI-Namespaces, die Benutzer*innen Zugriff gewähren. Direkte Benutzerrechte: Ohne Geerbte Benutzerrechte: Auf diesen Computer vom Netzwerk aus zugreifen. Hinzufügen von Arbeitsstationen zur Domäne Auslassen der durchsuchenden Überprüfung Arbeitssatz eines Prozesses vergrößern |