Anhang B: Referenzhandbuch für privilegierte Active Directory-Konten und -Gruppen

Active Directory-Domänendienste enthalten zahlreiche integrierte Konten und Gruppen, denen erhöhte Berechtigungen zum Ausführen von Verwaltungsaufgaben gewährt werden. Diesen privilegierten Konten werden leistungsstarke Rechte, Berechtigungen und Berechtigungen gewährt, die es ihnen ermöglichen, nahezu jede Aktion in Active Directory und auf in Domänen eingebundenen Systemen auszuführen.

Dieser Anhang enthält wichtige Informationen über:

  • Rechte, Berechtigungen und Berechtigungen.
  • Gruppen mit den höchsten Berechtigungen.
  • Integrierte und Standardkonten.

Das Verständnis dieser privilegierten Konten und Gruppen ist entscheidend für die Implementierung effektiver Sicherheitskontrollen und Überwachungsstrategien. Die Informationen in diesem Anhang dienen als Grundlage für die spezifischen Sicherheitsempfehlungen und Implementierungsanleitungen, die in den beigefügten Anhängen enthalten sind.

Important

Die in diesem Anhang beschriebenen Konten und Gruppen verfügen über umfangreiche Berechtigungen, die sich auf die gesamte Active Directory-Gesamtstruktur auswirken können. Die ordnungsgemäße Sicherheit dieser Konten ist entscheidend für die Aufrechterhaltung der Integrität Ihrer Verzeichnisumgebung.

Rechte, Berechtigungen und Berechtigungen in Active Directory

Die Unterschiede zwischen Rechten, Berechtigungen und Privilegien können verwirrend sein. In diesem Abschnitt werden einige der Merkmale der einzelnen Elemente beschrieben, wie sie in diesem Dokument verwendet werden. Diese Beschreibungen sollten nicht als maßgeblich für andere Microsoft-Dokumentationen angesehen werden, da diese Begriffe möglicherweise anders verwendet werden.

Rechte und Privilegien

Rechte und Privilegien sind im Grunde die gleichen systemweiten Fähigkeiten, die Sicherheitsprinzipalen wie Benutzern, Diensten, Computern oder Gruppen gewährt werden. In Schnittstellen, die in der Regel von IT-Experten verwendet werden, werden sie als Rechte oder Benutzerrechte bezeichnet, und sie werden häufig von Gruppenrichtlinienobjekten zugewiesen. Der folgende Screenshot zeigt einige der häufigsten Benutzerrechte, die Sicherheitsprinzipalen zugewiesen werden können (es stellt das Gruppenrichtlinienobjekt „Standarddomänencontroller“ in einer Windows Server 2012-Domäne dar). Einige dieser Rechte gelten für Active Directory, z. B. das Benutzerrecht Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird, während andere Rechte für das Windows-Betriebssystem gelten, z. B. Ändern der Systemzeit.

Privilegierte Konten und Gruppen

Auf Benutzeroberflächen wie der im Gruppenrichtlinienobjekt-Editor werden alle diese zuweisbaren Fähigkeiten allgemein als Benutzerrechte bezeichnet. In der Praxis werden jedoch einige Benutzerrechte programmgesteuert als Rechte bezeichnet, während andere programmgesteuert als Privilegien bezeichnet werden. Obwohl in Gruppenrichtlinie und auf anderen Benutzeroberflächen diese alle als Benutzerrechte bezeichnet werden, werden einige programmgesteuert als Rechte bezeichnet, während andere Privilegien genannt werden.

Weitere Informationen zu den einzelnen Benutzerrechten, die in der folgenden Tabelle aufgeführt sind, finden Sie unter Leitfaden für Bedrohungen und Gegenmaßnahmen: Benutzerrechte im Handbuch zur Risikominderung von Bedrohungen und Sicherheitsanfälligkeiten für Windows Server

Note

Für die Zwecke dieses Dokuments werden die Begriffe Rechte und Benutzerrechte verwendet, um Rechte und Privilegien zu identifizieren, sofern nicht anders angegeben.

Permissions

Berechtigungen sind Zugriffssteuerungen, die für absicherbare Objekte wie Dateisystem, Registrierung, Dienst und Active Directory-Objekte gelten. Jedes absicherbare Objekt verfügt über eine zugeordnete Zugriffssteuerungsliste (Access Control List, ACL), die Zugriffssteuerungseinträge (Access Control Entries, ACEs) enthält, die Sicherheitsprinzipalen (Benutzern, Diensten, Computern oder Gruppen) die Möglichkeit zum Anwenden verschiedener Vorgänge auf das Objekt gewähren oder verweigern. Die ACLs für viele Objekte in Active Directory enthalten z. B. ACEs, die es authentifizierten Benutzern ermöglichen, allgemeine Informationen zu den Objekten zu lesen, ihnen jedoch nicht die Möglichkeit geben, vertrauliche Informationen zu lesen oder die Objekte zu ändern. Mit Ausnahme des integrierten Gastkontos jeder Domäne wird jedem Sicherheitsprinzipal, der sich anmeldet und von einem Domänencontroller in einer Active Directory-Gesamtstruktur oder einer vertrauenswürdigen Gesamtstruktur authentifiziert wird, standardmäßig die Sicherheits-ID (Authenticated Users Security Identifier, SID) dem Zugriffstoken hinzugefügt. Daher ist der Lesevorgang unabhängig davon erfolgreich, ob ein Benutzer-, Dienst- oder Computerkonto versucht, allgemeine Eigenschaften von Benutzerobjekten in einer Domäne zu lesen.

Wenn ein Sicherheitsprinzipal versucht, auf ein Objekt zuzugreifen, für das keine ACEs definiert sind und das eine SID enthält, die im Zugriffstoken des Prinzipals vorhanden ist, kann der Prinzipal nicht auf das Objekt zugreifen. Wenn ein ACE in der ACL eines Objekts einen Deny-Eintrag für eine SID enthält, die mit dem Zugriffstoken des Benutzers übereinstimmt, überschreibt der Deny-ACE in der Regel einen in Konflikt stehenden allow-ACE. Weitere Informationen zur Zugriffssteuerung unter Windows finden Sie unter Zugriffssteuerung auf der MSDN-Website.

In diesem Dokument bezieht sich der Begriff "Berechtigungen " auf Funktionen, die Sicherheitsprinzipalen für sicherungsfähige Objekte gewährt oder verweigert werden. Wenn es einen Konflikt zwischen einem Benutzerrecht und einer Berechtigung gibt, hat das Benutzerrecht in der Regel Vorrang. Wenn z. B. ein Objekt in Active Directory mit einer ACL konfiguriert ist, die Administratoren jeglichen Lese- und Schreibzugriff auf ein Objekt verweigert, kann ein Benutzer, der Mitglied der Gruppe Administratoren der Domäne ist, nicht viele Informationen über das Objekt anzeigen. Da der Gruppe Administratoren jedoch das Benutzerrecht Besitzung von Dateien oder anderen Objekten übernehmen erteilt wird, kann der Benutzer einfach den Besitz des betreffenden Objekts übernehmen und dann die ACL des Objekts neu schreiben, um Administratoren die volle Kontrolle über das Objekt zu gewähren.

Aus diesem Grund wird in diesem Dokument empfohlen, die Verwendung leistungsstarker Konten und Gruppen für die tägliche Verwaltung zu vermeiden, anstatt zu versuchen, die Funktionen der Konten und Gruppen einzuschränken. Es ist nicht effektiv möglich, einen bestimmten Benutzer, der Zugriff auf leistungsstarke Anmeldeinformationen hat, daran zu hindern, diese Anmeldeinformationen zu verwenden, um Zugriff auf eine sicherungsfähige Ressource zu erhalten.

Integrierte privilegierte Konten und Gruppen

Active Directory ist darauf ausgelegt, die Delegierung der Verwaltung und das Prinzip der geringsten Privilegien bei der Zuweisung von Rechten und Berechtigungen zu erleichtern. Reguläre Benutzer, die über Konten in einer Active Directory-Domäne verfügen, können standardmäßig einen Großteil der im Verzeichnis gespeicherten Daten lesen, aber nur einen begrenzten Datensatz im Verzeichnis ändern. Benutzern, die zusätzliche Berechtigungen benötigen, kann die Mitgliedschaft in verschiedenen privilegierten Gruppen gewährt werden, die in das Verzeichnis integriert sind, sodass sie bestimmte Aufgaben im Zusammenhang mit ihren Rollen ausführen können, aber keine Aufgaben ausführen können, die für ihre Aufgaben nicht relevant sind.

In Active Directory gibt es drei integrierte Gruppen, die die höchsten Berechtigungsgruppen im Verzeichnis umfassen, sowie eine vierte Gruppe, die Gruppe Schema-Admins (SA):

Die Gruppe Schema-Admins (SA) verfügt über Privilegien, die bei Missbrauch eine ganze Active Directory-Gesamtstruktur beschädigen oder zerstören können. Diese Gruppe ist jedoch in ihren Möglichkeiten stärker eingeschränkt als die Gruppen EA, DA und BA.

Zusätzlich zu diesen vier Gruppen gibt es viele zusätzliche integrierte und standardmäßige Konten und Gruppen in Active Directory, denen jeweils Rechte und Berechtigungen erteilt werden, mit denen bestimmte Verwaltungsaufgaben ausgeführt werden können. Dieser Anhang enthält zwar keine ausführliche Erläuterung aller integrierten oder Standardgruppen in Active Directory, aber eine Tabelle der Gruppen und Konten, die am wahrscheinlichsten in Ihren Installationen angezeigt werden.

Wenn Sie z. B. Microsoft Exchange Server in einer Active Directory-Gesamtstruktur installieren, können zusätzliche Konten und Gruppen in den Containern "Integriert" und "Benutzer" in Ihren Domänen erstellt werden. In diesem Anhang werden nur die Gruppen und Konten beschrieben, die in den Containern „Builtin“ und „Users“ in Active Directory basierend auf nativen Rollen und Features erstellt werden. Konten und Gruppen, die durch die Installation von Unternehmenssoftware erstellt werden, sind nicht enthalten.

Enterprise Admins

Die Gruppe Organisations-Admins (EA) befindet sich in der Stammdomäne der Gesamtstruktur und ist standardmäßig Mitglied der integrierten Gruppe Administratoren in jeder Domäne in der Gesamtstruktur. Das Konto „Vordefinierter Administrator“ in der Stammdomäne der Gesamtstruktur ist das einzige Standardmitglied der Gruppe „Organisations-Admins“. Organisations-Admins werden Rechte und Berechtigungen erteilt, dank derer sie gesamtstrukturweite Änderungen vornehmen können. Dies sind Änderungen, die sich auf alle Domänen in der Gesamtstruktur auswirken, z. B. Hinzufügen oder Entfernen von Domänen, Einrichten von Gesamtstruktur-Vertrauensstellungen oder Erhöhen von Gesamtstrukturfunktionsebenen. In einem ordnungsgemäß entworfenen und implementierten Delegierungsmodell ist Mitgliedschaft in der Gruppe „Unternehmensadministratoren“ nur beim ersten Erstellen der Gesamtstruktur oder bei bestimmten gesamtstrukturweiten Änderungen erforderlich, z. B. beim Einrichten einer ausgehenden Gesamtstruktur-Vertrauensstellung.

Die EA-Gruppe befindet sich standardmäßig im Container "Benutzer" in der Stammdomäne der Gesamtstruktur, und es handelt sich um eine universelle Sicherheitsgruppe, es sei denn, die Stammdomäne der Gesamtstruktur wird im gemischten Modus von Windows 2000 Server ausgeführt, in diesem Fall handelt es sich bei der Gruppe um eine globale Sicherheitsgruppe. Obwohl einige Rechte direkt der EA-Gruppe gewährt werden, werden viele der Rechte dieser Gruppe von der EA-Gruppe geerbt, da sie in jeder Domäne in der Gesamtstruktur Mitglied der Gruppe Administratoren ist. Organisations-Admins verfügen über keine Standardrechte auf Arbeitsstationen oder Mitgliedsservern.

Domain Admins

Jede Domäne in einer Gesamtstruktur verfügt über ihre eigene Gruppe „Domänen-Admins“, die Mitglied der Gruppe „Vordefinierte Administratoren“ der jeweiligen Domäne ist, sowie über ein Mitglied der lokalen Gruppe „Administratoren“ auf jedem Computer, der in die Domäne eingebunden ist. Das einzige Standardmitglied der Gruppe „Domänen-Admins“ einer Domäne ist das Konto „Vordefinierter Administrator“ für diese Domäne.

Domänen-Admins haben innerhalb ihrer Domänen weitreichende Rechte, während Organisations-Admins gesamtstrukturweite Privilegien haben. In einem ordnungsgemäß entworfenen und implementierten Delegierungsmodell sollte die DA-Mitgliedschaft nur in Break-Glass-Szenarien erforderlich sein, d. h. in Situationen, in denen ein Konto mit hohen Berechtigungen auf jedem Computer in der Domäne erforderlich ist, oder wenn bestimmte domänenweite Änderungen vorgenommen werden müssen. Obwohl systemeigene Active Directory-Delegierungsmechanismen die Delegierung in dem Maße zulassen, dass es möglich ist, DA-Konten nur in Notfallszenarien zu verwenden, kann das Erstellen eines effektiven Delegierungsmodells zeitaufwändig sein, und viele Organisationen verwenden Anwendungen von Drittanbietern, um den Prozess zu beschleunigen.

Die Gruppe „Domänen-Admins“ ist eine globale Sicherheitsgruppe, die sich im Container „Users“ der Domäne befindet. Es gibt eine DA-Gruppe für jede Domäne in der Gesamtstruktur, und das einzige Standardmitglied einer DA-Gruppe ist das integrierte Administratorkonto der Domäne. Da die DA-Gruppe einer Domäne in der BA-Gruppe der Domäne und der lokalen Administratorgruppe jedes in die Domäne eingebundenen Systems geschachtelt ist, verfügen DAs nicht nur über Berechtigungen, die Domänenadministratoren erteilt werden, sondern sie erben auch alle Rechte und Berechtigungen, die der Gruppe Administratoren der Domäne und der lokalen Administratorgruppe auf allen Systemen gewährt wurden, die der Domäne beigetreten sind.

Administrators

Die integrierte Gruppe Administratoren (BA) ist eine domänenlokale Gruppe im integrierten Container einer Domäne, in der DAs und EAs geschachtelt sind, und es ist diese Gruppe, der viele der direkten Rechte und Berechtigungen im Verzeichnis und auf Domänencontrollern gewährt werden. Die Gruppe Administratoren für eine Domäne verfügt jedoch über keine Berechtigungen auf Mitgliedsservern oder Arbeitsstationen. Über die Mitgliedschaft in der lokalen Gruppe „Administratoren“ von in die Domäne eingebundenen Computern werden lokale Privilegien gewährt. Von den besprochenen Gruppen sind nur Domänenadministratoren standardmäßig Mitglieder der lokalen Gruppe „Administratoren“ aller in die Domäne eingebundenen Computer.

Die Gruppe „Administratoren“ ist eine lokale Gruppe (in der Domäne) im Container „Builtin“ der Domäne. Standardmäßig enthält die Gruppe „Vordefinierte Administratoren“ jeder Domäne das Konto „Vordefinierter Administrator“ der lokalen Domäne, die Gruppe „Domänen-Admins“ der lokalen Domäne und die Gruppe „Organisations-Admins“ der Stammdomäne der Gesamtstruktur. Viele Benutzerrechte in Active Directory und auf Domänencontrollern werden spezifisch der Gruppe „Administratoren“ und nicht Organisations- oder Domänen-Admins gewährt. Die Gruppe „Vordefinierte Administratoren“ einer Domäne verfügt über Vollzugriffsberechtigungen für die meisten Verzeichnisobjekte und kann den Besitz von Verzeichnisobjekten übernehmen. Obwohl EA- und DA-Gruppen bestimmte objektspezifische Berechtigungen in der Gesamtstruktur und in den Domänen gewährt werden, wird ein Großteil der Leistung von Gruppen von ihrer Mitgliedschaft in BA-Gruppen geerbt.

Note

Obwohl dies die Standardkonfigurationen dieser privilegierten Gruppen sind, kann ein Mitglied einer der drei Gruppen das Verzeichnis dahingehend ändern, dass es Mitglied einer der anderen Gruppen wird. In einigen Fällen ist es trivial zu erreichen, während es in anderen schwieriger ist, aber aus der Perspektive potenzieller Privilegien sollten alle drei Gruppen effektiv als gleichwertig betrachtet werden.

Schema Admins

Die Gruppe „Schema-Admins“ ist eine universelle Gruppe in der Stammdomäne der Gesamtstruktur und enthält nur das Konto „Vordefinierter Administrator“ der jeweiligen Domäne als Standardmitglied, ähnlich wie die Gruppe „Organisations-Admins“. Obwohl die Mitgliedschaft in der Gruppe „Schema-Admins“ es einem Angreifer ermöglichen kann, das Active Directory-Schema zu kompromittieren, das den Rahmen für die gesamte Active Directory-Gesamtstruktur bildet, verfügen Schema-Admins nur über wenige Standardrechte und -berechtigungen, die über das Schema hinausgehen.

Sie sollten die Mitgliedschaft in der SA-Gruppe sorgfältig verwalten und überwachen, aber in mancher Hinsicht ist diese Gruppe weniger privilegiert als die drei zuvor beschriebenen Gruppen mit den höchsten Berechtigungen, da der Umfang ihrer Berechtigung eng ist. Das heißt, SAs haben keine anderen administrativen Rechte als das Schema.

Zusätzliche integrierte und Standardgruppen in Active Directory

Um die Delegierung der Verwaltung im Verzeichnis zu erleichtern, enthält Active Directory verschiedene vordefinierte Gruppen und Standardgruppen, denen bestimmte Rechte und Berechtigungen erteilt werden. Diese Gruppen werden in der folgenden Tabelle kurz beschrieben.

In den folgenden Abschnitten werden die integrierten und Standardgruppen in Active Directory aufgeführt. Beide Arten von Gruppen sind standardmäßig vorhanden. Vordefinierte Gruppen befinden sich jedoch (standardmäßig) im Container „Builtin“ in Active Directory, während sich Standardgruppen (standardmäßig) im Container „Users“ in Active Directory befinden. Die Gruppen im Container „Builtin“ sind alle lokale Gruppen in der Domäne, während die Gruppen im Container „Users“ eine Mischung aus lokalen Gruppen in der Domäne, globalen und universellen Gruppen sind, zusätzlich zu den drei individuellen Benutzerkonten (Administrator, Gast und Krbtgt).

Zusätzlich zu den oben in diesem Anhang beschriebenen Gruppen mit den höchsten Privilegien verfügen einige vordefinierte und Standardkonten und -gruppen über erhöhte Privilegien und sollten ebenfalls geschützt und nur auf sicheren administrativen Hosts verwendet werden. Da einigen dieser Gruppen und Konten Rechte und Berechtigungen gewährt werden, die missbraucht werden können, um Active Directory oder Domänencontroller zu kompromittieren, erhalten sie mehr Schutz, wie in Anhang C: Geschützte Konten und Gruppen in Active Directory beschrieben.

Bediener zur Unterstützung der Zugangskontrolle

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf diesem Computer remote abfragen.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Active Directory in Windows Server 2012 und höher.

Account Operators

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder können Domänen-, Benutzer- und Gruppenkonten verwalten.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Administrator account

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", keine Gruppe
  • Beschreibung und Standardbenutzerrechte: Integriertes Konto für die Verwaltung der Domäne.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Anpassen von Speicherkontingenten für einen Prozess
    • Lokale Anmeldung zulassen
    • Anmelden über Remotedesktopdienste zulassen
    • Sichern von Dateien und Verzeichnissen
    • Auslassen der durchsuchenden Überprüfung
    • Ändern der Systemzeit
    • Ändern der Zeitzone
    • Erstellen einer Auslagerungsdatei
    • Erstellen globaler Objekte
    • Erstellen symbolischer Verknüpfungen
    • Debug programs
    • Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
    • Erzwingen des Herunterfahrens von einem Remotesystem
    • Annehmen der Identität eines Clients nach der Authentifizierung
    • Arbeitssatz eines Prozesses vergrößern
    • Anheben der Zeitplanungspriorität
    • Laden und Entfernen von Gerätetreibern
    • Als Batchauftrag anmelden
    • Verwalten von Überwachungs- und Sicherheitsprotokollen
    • Verändern der Firmwareumgebungsvariablen
    • Ausführen von Volumewartungsaufgaben
    • Erstellen eines Profils für einen Einzelprozess
    • Erstellen eines Profils der Systemleistung
    • Entfernen des Computers von der Dockingstation
    • Wiederherstellen von Dateien und Verzeichnissen
    • Herunterfahren des Systems
    • Übernehmen des Besitzes an Dateien und Objekten

Administrators group

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Administratoren haben vollständigen und uneingeschränkten Zugriff auf die Domäne.
  • Direkte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Anpassen von Speicherkontingenten für einen Prozess
    • Lokale Anmeldung zulassen
    • Anmelden über Remotedesktopdienste zulassen
    • Sichern von Dateien und Verzeichnissen
    • Auslassen der durchsuchenden Überprüfung
    • Ändern der Systemzeit
    • Ändern der Zeitzone
    • Erstellen einer Auslagerungsdatei
    • Erstellen globaler Objekte
    • Erstellen symbolischer Verknüpfungen
    • Debug programs
    • Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
    • Erzwingen des Herunterfahrens von einem Remotesystem
    • Annehmen der Identität eines Clients nach der Authentifizierung
    • Anheben der Zeitplanungspriorität
    • Laden und Entfernen von Gerätetreibern
    • Als Batchauftrag anmelden
    • Verwalten von Überwachungs- und Sicherheitsprotokollen
    • Verändern der Firmwareumgebungsvariablen
    • Ausführen von Volumewartungsaufgaben
    • Erstellen eines Profils für einen Einzelprozess
    • Erstellen eines Profils der Systemleistung
    • Entfernen des Computers von der Dockingstation
    • Wiederherstellen von Dateien und Verzeichnissen
    • Herunterfahren des Systems
    • Übernehmen des Besitzes an Dateien und Objekten
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Zulässige RODC-Kennwortreplikationsgruppe

  • Standardcontainer, Gruppenbereich und -typ: Benutzercontainer, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Die Kennwörter von Mitgliedern in dieser Gruppe können auf alle schreibgeschützten Domänencontroller in der Domäne repliziert werden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Backup Operators

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Backup-Operatoren können Sicherheitseinschränkungen ausschließlich zum Sichern oder Wiederherstellen von Dateien außer Kraft setzen.
  • Direkte Benutzerrechte:
    • Lokale Anmeldung zulassen
    • Sichern von Dateien und Verzeichnissen
    • Als Batchauftrag anmelden
    • Wiederherstellen von Dateien und Verzeichnissen
    • Herunterfahren des Systems
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Cert Publishers

  • Standardcontainer, Gruppenbereich und -typ: Benutzercontainer, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe sind berechtigt, Zertifikate im Verzeichnis zu veröffentlichen.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Zertifikatdienst-DCOM-Zugriff

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Wenn die Zertifikatdienste auf einem Domänencontroller installiert sind (nicht empfohlen), gewährt diese Gruppe Domänenbenutzern und Domänencomputern DCOM-Registrierungszugriff.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Klonbare Domänencontroller

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe, bei denen es sich um Domänencontroller handelt, können geklont werden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Active Directory in Windows Server 2012 und höher.

Cryptographic Operators

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder sind berechtigt, kryptografische Vorgänge durchzuführen.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Debugger Users

  • Standardcontainer, Gruppenbereich und -typ: Dies ist weder eine Standardgruppe noch eine integrierte Gruppe, aber wenn sie in AD DS vorhanden ist, ist dies Anlass für weitere Untersuchungen.
  • Beschreibung und Standardbenutzerrechte: Das Vorhandensein einer Gruppe Debuggerbenutzer gibt an, dass Debugtools zu einem bestimmten Zeitpunkt auf dem System installiert wurden, sei es über Visual Studio, SQL, Office oder andere Anwendungen, die eine Debugumgebung erfordern und unterstützen. Diese Gruppe lässt Remotezugriff zum Debuggen von Computern zu. Wenn diese Gruppe auf Domänenebene vorhanden ist, bedeutet dies, dass ein Debugger oder eine Anwendung, die einen Debugger enthält, auf einem Domänencontroller installiert wurde.

Abgelehnte RODC-Kennwortreplikationsgruppe

  • Standardcontainer, Gruppenbereich und -typ: Benutzercontainer, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Die Kennwörter von Mitgliedern in dieser Gruppe können nicht auf schreibgeschützte Domänencontroller in der Domäne repliziert werden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

DHCP Administrators

  • Standardcontainer, Gruppenbereich und -typ: Benutzercontainer, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe verfügen über administrativen Zugriff auf den DHCP-Serverdienst.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

DHCP Users

  • Standardcontainer, Gruppenbereich und -typ: Benutzercontainer, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe haben schreibgeschützten Zugriff auf den DHCP-Serverdienst.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Distributed COM-Benutzer

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe dürfen verteilte COM-Objekte auf diesem Computer starten, aktivieren und verwenden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

DnsAdmins

  • Standardcontainer, Gruppenbereich und -typ: Benutzercontainer, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe verfügen über administrativen Zugriff auf den DNS-Serverdienst.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

DnsUpdateProxy

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe sind DNS-Clients, die berechtigt sind, dynamische Updates im Namen von Clients durchzuführen, die selbst keine dynamischen Updates durchführen können. Mitglieder dieser Gruppe sind in der Regel DHCP-Server.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Domain Admins

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Benannte Administratoren der Domäne; Domänenadministratoren sind Mitglied der lokalen Administratorgruppe jedes in die Domäne eingebundenen Computers und erhalten zusätzlich zur Administratorgruppe der Domäne Rechte und Berechtigungen, die der lokalen Administratorgruppe gewährt werden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Anpassen von Speicherkontingenten für einen Prozess
    • Lokale Anmeldung zulassen
    • Anmelden über Remotedesktopdienste zulassen
    • Sichern von Dateien und Verzeichnissen
    • Auslassen der durchsuchenden Überprüfung
    • Ändern der Systemzeit
    • Ändern der Zeitzone
    • Erstellen einer Auslagerungsdatei
    • Erstellen globaler Objekte
    • Erstellen symbolischer Verknüpfungen
    • Debug programs
    • Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
    • Erzwingen des Herunterfahrens von einem Remotesystem
    • Annehmen der Identität eines Clients nach der Authentifizierung
    • Arbeitssatz eines Prozesses vergrößern
    • Anheben der Zeitplanungspriorität
    • Laden und Entfernen von Gerätetreibern
    • Als Batchauftrag anmelden
    • Verwalten von Überwachungs- und Sicherheitsprotokollen
    • Verändern der Firmwareumgebungsvariablen
    • Ausführen von Volumewartungsaufgaben
    • Erstellen eines Profils für einen Einzelprozess
    • Erstellen eines Profils der Systemleistung
    • Entfernen des Computers von der Dockingstation
    • Wiederherstellen von Dateien und Verzeichnissen
    • Herunterfahren des Systems
    • Übernehmen des Besitzes an Dateien und Objekten

Domain Computers

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Alle Arbeitsstationen und Server, die der Domäne beigetreten sind, sind standardmäßig Mitglieder dieser Gruppe.
  • Standardmäßige direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Domain Controllers

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Alle Domänencontroller in der Domäne. Hinweis: Domänencontroller sind kein Mitglied der Gruppe „Domänencomputer“.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Domain Guests

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Alle Gäste in der Domäne
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Domain Users

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Alle Benutzer in der Domäne
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Enterprise Admins

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Universelle Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Organisationsadministratoren verfügen über Berechtigungen zum Ändern von konfigurationseinstellungen für die gesamte Gesamtstruktur. Organisations-Admins ist Mitglied der Gruppe Administratoren jeder Domäne und erhält Rechte und Berechtigungen, die dieser Gruppe gewährt werden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Anpassen von Speicherkontingenten für einen Prozess
    • Lokale Anmeldung zulassen
    • Anmelden über Remotedesktopdienste zulassen
    • Sichern von Dateien und Verzeichnissen
    • Auslassen der durchsuchenden Überprüfung
    • Ändern der Systemzeit
    • Ändern der Zeitzone
    • Erstellen einer Auslagerungsdatei
    • Erstellen globaler Objekte
    • Erstellen symbolischer Verknüpfungen
    • Debug programs
    • Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird
    • Erzwingen des Herunterfahrens von einem Remotesystem
    • Annehmen der Identität eines Clients nach der Authentifizierung
    • Arbeitssatz eines Prozesses vergrößern
    • Anheben der Zeitplanungspriorität
    • Laden und Entfernen von Gerätetreibern
    • Als Batchauftrag anmelden
    • Verwalten von Überwachungs- und Sicherheitsprotokollen
    • Verändern der Firmwareumgebungsvariablen
    • Ausführen von Volumewartungsaufgaben
    • Erstellen eines Profils für einen Einzelprozess
    • Erstellen eines Profils der Systemleistung
    • Entfernen des Computers von der Dockingstation
    • Wiederherstellen von Dateien und Verzeichnissen
    • Herunterfahren des Systems
    • Übernehmen des Besitzes an Dateien und Objekten
  • Hinweise: Existiert nur in der Stammdomäne der Gesamtstruktur.

Schreibgeschützte Enterprise-Domänencontroller

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Universelle Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Diese Gruppe enthält die Konten für alle schreibgeschützten Domänencontroller in der Gesamtstruktur.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Ereignisprotokollleser

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können die Ereignisprotokolle auf Domänencontrollern lesen.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Gruppenrichtlinienersteller-Besitzer

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können Gruppenrichtlinienobjekte in der Domäne erstellen und ändern.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Guest

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", keine Gruppe
  • Beschreibung und Standardbenutzerrechte: Dies ist das einzige Konto in einer AD DS-Domäne, dem Zugriffstoken nicht die SID "Authentifizierte Benutzer" hinzugefügt wurde. Daher sind alle Ressourcen, die für das Erteilen des Zugriffs auf die Gruppe „Authentifizierte Benutzer“ konfiguriert sind, für dieses Konto nicht zugänglich. Dieses Verhalten gilt nicht für Mitglieder der Gruppen „Domänengäste“ und „Gäste“. Den Zugriffstoken der Mitglieder dieser Gruppen ist die SID für authentifizierte Benutzer hinzugefügt.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Guests

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Gäste haben standardmäßig den gleichen Zugriff wie Mitglieder der Gruppe Benutzer, mit Ausnahme des Gastkontos, das wie zuvor beschrieben weiter eingeschränkt ist.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Hyper-V Administrators

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe haben vollständigen und uneingeschränkten Zugriff auf alle Features von Hyper-V.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Windows Server 2012 und höher.

IIS_IUSRS

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Integrierte Gruppe, die von Internetinformationsdiensten verwendet wird.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Eingehende Forest Trust Builder

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können eingehende, unidirektionale Vertrauensstellungen für diese Gesamtstruktur erstellen. (Die Erstellung von ausgehenden Gesamtstruktur-Trusts ist Organisations-Admins vorbehalten.) Mitglieder dieser Gruppe können eingehende Vertrauensstellungen erstellen, die eine TGT-Delegierung zulassen, was zu einer Kompromittierung Ihrer Gesamtstruktur führen kann. Weitere Informationen zur TGT-Delegierung über eingehende Vertrauensstellungen finden Sie unter Updates zur TGT-Delegierung über eingehende Vertrauensstellungen in Windows Server.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Existiert nur in der Stammdomäne der Gesamtstruktur.

Krbtgt

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", keine Gruppe
  • Beschreibung und Standardbenutzerrechte: Das Krbtgt-Konto ist das Dienstkonto für das Kerberos-Schlüsselverteilungscenter in der Domäne. Dieses Konto hat Zugriff auf die Anmeldeinformationen aller Konten, die in Active Directory gespeichert sind. Dieses Konto ist standardmäßig deaktiviert und darf nie aktiviert werden.
  • Benutzerrechte: ohne

Netzwerkkonfigurations-Operatoren

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitgliedern dieser Gruppe werden Berechtigungen erteilt, die es ihnen ermöglichen, die Konfiguration von Netzwerkfunktionen zu verwalten.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Leistungsprotokollbenutzer

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können die Protokollierung von Leistungsindikatoren planen, Ablaufverfolgungsanbieter aktivieren und Ereignisablaufverfolgungen lokal und über Remotezugriff auf den Computer sammeln.
  • Direkte Benutzerrechte:
    • Als Batchauftrag anmelden
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Systemmonitorbenutzer

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können lokal und remote auf Leistungsindikatordaten zugreifen.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Prä-Windows 2000 kompatibler Zugriff

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Diese Gruppe ist aus Gründen der Abwärtskompatibilität mit Betriebssystemen vor Windows 2000 Server vorhanden und bietet Mitgliedern die Möglichkeit, Benutzer- und Gruppeninformationen in der Domäne zu lesen.
  • Direkte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Auslassen der durchsuchenden Überprüfung
  • Geerbte Benutzerrechte:
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Arbeitssatz eines Prozesses vergrößern
  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können Domänendrucker verwalten.
  • Direkte Benutzerrechte:
    • Lokale Anmeldung zulassen
    • Laden und Entfernen von Gerätetreibern
    • Herunterfahren des Systems
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

RAS- und IAS-Server

  • Standardcontainer, Gruppenbereich und -typ: Benutzercontainer, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Server in dieser Gruppe können RAS-Eigenschaften für Benutzerkonten in der Domäne lesen.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

RDS-Endpunkt-Server

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Server in dieser Gruppe führen virtuelle Computer aus und hosten Sitzungen, in denen Benutzer, RemoteApp-Programme und persönliche virtuelle Desktops ausgeführt werden. Diese Gruppe muss auf Servern, auf denen RD-Verbindungsbroker ausgeführt wird, Mitglieder enthalten. In der Bereitstellung verwendete RD-Sitzungshostserver und RD-Virtualisierungshostserver müssen sich in dieser Gruppe befinden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Windows Server 2012 und höher.

RDS-Verwaltungsserver

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Server in dieser Gruppe können routinemäßige Verwaltungsaktionen auf Servern ausführen, auf denen Remotedesktopdienste ausgeführt werden. Diese Gruppe muss auf allen Servern in einer Remotedesktopdienste-Bereitstellung Mitglieder enthalten. Die Server, auf denen der RDS Central Management-Dienst ausgeführt wird, müssen in dieser Gruppe enthalten sein.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Windows Server 2012 und höher.

RDS-Server für den Remote-Zugriff

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Server in dieser Gruppe ermöglichen Benutzern von RemoteApp-Programmen und persönlichen virtuellen Desktops den Zugriff auf diese Ressourcen. Bei Bereitstellungen mit Internetzugriff werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Diese Gruppe muss auf Servern, auf denen RD-Verbindungsbroker ausgeführt wird, Mitglieder enthalten. In der Bereitstellung verwendete RD-Gatewayserver und RD-Webzugriffsserver müssen sich in dieser Gruppe befinden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Windows Server 2012 und höher.

Read-only-Domänencontroller

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Globale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Diese Gruppe enthält alle schreibgeschützten Domänencontroller in der Domäne.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Remotedesktopbenutzer

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe erhalten das Recht, sich über RDP remote anzumelden.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Benutzer mit Remote-Verwaltung

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können über Verwaltungsprotokolle (z. B. WS-Management über den Windows-Remoteverwaltungsdienst) auf WMI-Ressourcen zugreifen. Dies betriff nur WMI-Namespaces, die Benutzer*innen Zugriff gewähren.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Windows Server 2012 und höher.

Replicator

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Unterstützt die Replikation von Legacydateien in einer Domäne.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Schema Admins

  • Standardcontainer, Gruppenbereich und -typ: Container "Benutzer", Universelle Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Schemaadministratoren sind die einzigen Benutzer, die Änderungen am Active Directory-Schema vornehmen können, und zwar nur, wenn das Schema schreibfähig ist.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Existiert nur in der Stammdomäne der Gesamtstruktur.

Server Operators

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können Domänencontroller verwalten.
  • Direkte Benutzerrechte:
    • Lokale Anmeldung zulassen
    • Sichern von Dateien und Verzeichnissen
    • Ändern der Systemzeit
    • Ändern der Zeitzone
    • Erzwingen des Herunterfahrens von einem Remotesystem
    • Wiederherstellen von Dateien und Verzeichnissen
    • Herunterfahren des Systems
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Terminalserver-Lizenzserver

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können Benutzerkonten in Active Directory mit Informationen zur Lizenzausstellung aktualisieren, um die Nutzung der TS-CAL pro Benutzer nachzuverfolgen und zu melden
  • Standardmäßige direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

Users

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Benutzer verfügen über Berechtigungen, die es ihnen ermöglichen, viele Objekte und Attribute in Active Directory zu lesen, obwohl sie die meisten nicht ändern können. Benutzer werden daran gehindert, versehentliche oder beabsichtigte systemweite Änderungen vorzunehmen und können die meisten Anwendungen ausführen.
  • Direkte Benutzerrechte:
    • Arbeitssatz eines Prozesses vergrößern
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung

Windows-Autorisierungszugriffsgruppe

  • Standardcontainer, Gruppenbereich und -typ: Integrierter Container, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe haben Zugriff auf das berechnete tokenGroupsGlobalAndUniversal-Attribut für Benutzerobjekte
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern

WinRMRemoteWMIUsers_

  • Standardcontainer, Gruppenbereich und -typ: Benutzercontainer, domänenlokale Sicherheitsgruppe
  • Beschreibung und Standardbenutzerrechte: Mitglieder dieser Gruppe können über Verwaltungsprotokolle (z. B. WS-Management über den Windows-Remoteverwaltungsdienst) auf WMI-Ressourcen zugreifen. Dies betriff nur WMI-Namespaces, die Benutzer*innen Zugriff gewähren.
  • Direkte Benutzerrechte: Ohne
  • Geerbte Benutzerrechte:
    • Auf diesen Computer vom Netzwerk aus zugreifen.
    • Hinzufügen von Arbeitsstationen zur Domäne
    • Auslassen der durchsuchenden Überprüfung
    • Arbeitssatz eines Prozesses vergrößern
  • Hinweise: Windows Server 2012 und höher.
  • Last updated on