Active Directory-Sicherheitsgruppen
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Erfahren Sie mehr über die Standardsicherheitsgruppen, den Gruppenbereich und Gruppenfunktionen von Active Directory.
Was ist eine Sicherheitsgruppe in Active Directory?
Active Directory verfügt über zwei Arten von allgemeinen Sicherheitsprinzipalen: Benutzerkonten und Computerkonten. Diese Konten stellen eine physische Entität dar, die entweder eine Person oder ein Computer ist. Ein Benutzerkonto kann auch als dediziertes Dienstkonto für bestimmte Anwendungen verwendet werden.
Sicherheitsgruppen sind eine Möglichkeit, Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln.
Im Windows Server-Betriebssystem sind mehrere vordefinierte Konten und Sicherheitsgruppen mit den entsprechenden Rechte und Berechtigungen zum Ausführen bestimmter Aufgaben vorkonfiguriert. In Active Directory sind administrative Zuständigkeiten auf zwei Arten von Administratoren verteilt:
Dienstadministratoren: Verantwortlich für die Verwaltung und Bereitstellung von Active Directory Domain Services (AD DS), einschließlich der Verwaltung von Domänencontrollern und der Konfiguration von AD DS.
Datenadministratoren: Verantwortlich für die Verwaltung der in AD DS und auf Domänenmitgliedsservern und -arbeitsstationen gespeicherten Daten.
Funktionsweise von Active Directory-Sicherheitsgruppen
Verwenden Sie Gruppen, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Durch die Verwendung von Gruppen anstelle einzelner Benutzer können Sie Netzwerkwartung und -verwaltung vereinfachen.
Active Directory verfügt über zwei Arten von Gruppen:
Sicherheitsgruppen: Werden verwendet, um Berechtigungen für freigegebene Ressourcen zuzuweisen.
Verteilergruppen: Werden verwendet, um E-Mail-Verteilerlisten zu erstellen.
Sicherheitsgruppen
Sicherheitsgruppen stellen eine effektive Möglichkeit zum Zuweisen des Zugriffs auf Ressourcen in Ihrem Netzwerk dar. Wenn Sie Sicherheitsgruppen verwenden, stehen Ihnen folgende Möglichkeiten zur Verfügung:
Zuweisen von Benutzerrechten zu Sicherheitsgruppen in Active Directory.
Zuweisen von Benutzerrechten zu einer Sicherheitsgruppe, um zu bestimmen, welche Aktionen Mitglieder dieser Gruppe im Bereich einer Domäne oder Gesamtstruktur ausführen können. Bei der Installation von Active Directory werden einigen Sicherheitsgruppen automatisch Benutzerrechte zugewiesen, damit Administratoren die Administratorrolle einer Person in der Domäne definieren können.
Beispielsweise kann ein Benutzer, den Sie der Gruppe „Sicherungsoperatoren“ in Active Directory hinzugefügt haben, Dateien und Verzeichnisse auf den einzelnen Domänencontrollern in der Domäne sichern und wiederherstellen. Der Benutzer kann diese Aktionen ausführen, da die Benutzerrechte Dateien und Verzeichnisse sichern und Dateien und Verzeichnisse wiederherstellen standardmäßig automatisch der Gruppe „Sicherungsoperatoren“ zugewiesen werden. Daher erben Mitglieder dieser Gruppe die Benutzerrechte, die dieser Gruppe zugewiesen sind.
Mithilfe der Gruppenrichtlinie können Sie Sicherheitsgruppen Benutzerrechte zuzuweisen, um bestimmte Aufgaben zu delegieren. Weitere Informationen zur Verwendung von Gruppenrichtlinie finden Sie unter Zuweisung von Benutzerrechten.
Zuweisen von Berechtigungen zu Sicherheitsgruppen für Ressourcen.
Berechtigungen unterscheiden sich von Benutzerrechten. Berechtigungen werden einer Sicherheitsgruppe für eine freigegebene Ressource zugewiesen. Mit Berechtigungen wird bestimmt, wer auf die Ressource zugreifen kann, und es wird die Zugriffsebene bestimmt (z. B. Vollzugriff oder Lesezugriff). Einige Berechtigungen, die für Domänenobjekte festgelegt werden, werden automatisch zugewiesen, damit verschiedene Zugriffsebenen für Standardsicherheitsgruppen möglich sind, beispielsweise die Gruppe „Konten-Operatoren“ oder die Gruppe „Domänen-Admins“.
Sicherheitsgruppen werden unter Discretionary Access Control Lists (DACLs) aufgeführt, die Berechtigungen für Ressourcen und Objekte definieren. Wenn Administratoren Berechtigungen für Ressourcen wie Dateifreigaben oder Drucker zuweisen, sollten sie diese Berechtigungen einer Sicherheitsgruppe und nicht einzelnen Benutzern zuweisen. Die Berechtigungen brauchen nur einmal der Gruppe zugewiesen werden und nicht jedem einzelnen Benutzer. Jedes Konto, das einer Gruppe hinzugefügt wird, erhält die Rechte, die dieser Gruppe in Active Directory zugewiesen sind. Der Benutzer erhält die Berechtigungen, die für diese Gruppe definiert sind.
Sie können eine Sicherheitsgruppe als E-Mail-Entität verwenden. Wird eine E-Mail-Nachricht an die Sicherheitsgruppe gesendet, wird die Nachricht an alle Mitglieder der Gruppe gesendet.
Verteilergruppen
Sie können Verteilergruppen nur zum Senden von E-Mails an Gruppen von Benutzern verwenden, indem Sie eine E-Mail-Anwendung wie Exchange Server verwenden. Verteilergruppen sind nicht sicherheitsaktiviert, daher können Sie sie nicht in DACLs einbeziehen.
Gruppenbereich
Jede Gruppe verfügt über einen Bereich, mit dem angegeben wird, in welchem Ausmaß die Gruppe in der Domänenstruktur oder in der Gesamtstruktur angewendet wird. Der Bereich einer Gruppe definiert, wo im Netzwerk Berechtigungen für die Gruppe erteilt werden können. Active Directory definiert die folgenden drei Gruppenbereiche:
Universell
Global
Lokal (in Domäne)
Hinweis
Zusätzlich zu diesen drei Bereichen verfügen die Standardgruppen im Container „Vordefiniert“ über einen Gruppenbereich „Lokal (vordefiniert)“. Dieser Gruppenbereich und der Gruppentyp können nicht geändert werden.
In der folgenden Tabelle werden die drei Gruppenbereiche und deren Funktionsweise als Sicherheitsgruppen beschrieben:
| `Scope` | Mögliche Mitglieder | Bereichskonvertierung | Kann Berechtigungen erteilen | Mögliches Mitglied von |
|---|---|---|---|---|
| Universell | Konten aus einer beliebigen Domäne in derselben Gesamtstruktur Globale Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur Andere universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur |
Kann in den Bereich „Lokal (in Domäne)“ konvertiert werden, wenn die Gruppe kein Mitglied einer anderen universellen Gruppe ist Kann in den Bereich „Global“ konvertiert werden, wenn die Gruppe keine andere universelle Gruppe enthält |
In jeder beliebigen Domäne in derselben Gesamtstruktur oder in vertrauenswürdigen Gesamtstrukturen | Andere universelle Gruppen in derselben Gesamtstruktur Lokale Domänengruppen in derselben Gesamtstruktur oder in vertrauenswürdigen Gesamtstrukturen Lokale Gruppen auf Computern in derselben Gesamtstruktur oder in vertrauenswürdigen Gesamtstrukturen |
| Global | Konten aus derselben Domäne Andere globale Gruppen aus derselben Domäne |
Kann in den Bereich „Universell“ konvertiert werden, wenn die Gruppe kein Mitglied einer anderen globalen Gruppe ist | In jeder beliebigen Domäne in derselben Gesamtstruktur oder in vertrauenswürdigen Domänen oder Gesamtstrukturen | Universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur Andere globale Gruppen aus derselben Domäne Lokale Domänengruppen aus einer beliebigen Domäne in derselben Gesamtstruktur oder einer beliebigen vertrauenswürdigen Domäne |
| Lokal (in Domäne) | Konten aus einer beliebigen Domäne oder vertrauenswürdigen Domäne Globale Gruppen aus einer beliebigen Domäne oder vertrauenswürdigen Domäne Universelle Gruppen aus einer beliebigen Domäne in derselben Gesamtstruktur Andere lokale Domänengruppen aus derselben Domäne Konten, globale Gruppen und universelle Gruppen aus anderen Gesamtstrukturen und externen Domänen |
Kann in den Bereich „Universell“ konvertiert werden, wenn die Gruppe keine andere lokale Domänengruppe enthält | Innerhalb derselben Domäne | Andere lokale Domänengruppen aus derselben Domäne Lokale Gruppen auf Computern in derselben Domäne, ausgenommen vordefinierte Gruppen mit bekannten Sicherheitsbezeichnern (SIDs) |
Spezielle Identitätsgruppen
Spezielle Identitäten werden als Gruppen bezeichnet. Spezielle Identitätsgruppen verfügen nicht über bestimmte Mitgliedschaften, die Sie ändern können, aber sie können zu verschiedenen Zeiten unterschiedliche Benutzer darstellen, je nach den Umständen. Einige dieser Gruppen sind „Ersteller-Besitzer“, „Batch“ und „Authentifizierter Benutzer“.
Weitere Informationen finden Sie unter Spezielle Identitätsgruppen.
Standardsicherheitsgruppen
Standardgruppen wie die Gruppe „Domänen-Admins“ sind Sicherheitsgruppen, die automatisch erstellt werden, wenn Sie eine Active Directory-Domäne erstellen. Sie können diese vordefinierten Gruppen verwenden, um den Zugriff auf freigegebene Ressourcen zu steuern und bestimmte domänenweite Verwaltungsrollen zu delegieren.
Vielen Standardgruppen wird automatisch ein Satz Benutzerrechte zugewiesen, mit dem die Mitglieder der Gruppe autorisiert werden, bestimmte Aktionen in einer Domäne auszuführen, beispielsweise die Anmeldung bei einem lokalen System oder das Sichern von Dateien und Ordnern. Beispielsweise kann ein Mitglied der Gruppe „Sicherungsoperatoren“ Sicherungsvorgänge für alle Domänencontroller in der Domäne ausführen.
Wenn Sie einer Gruppe einen Benutzer hinzufügen, erhält der Benutzer alle Benutzerrechte, die der Gruppe zugewiesen sind, einschließlich aller Berechtigungen, die der Gruppe für beliebige freigegebene Ressourcen zugewiesen sind.
Standardgruppen befinden sich im Container „Vordefiniert“ und im Container „Benutzer“ in Active Directory, Benutzer und Computer. Der Container „Vordefiniert“ enthält Gruppen, die mit dem Bereich „Lokal (in Domäne)“ definiert wurden. Der Container „Benutzer“ enthält Gruppen, die mit dem Bereich „Global“ definiert wurden, und Gruppen, die mit dem Bereich „Lokal (in Domäne)“ definiert wurden. Sie können Gruppen, die sich in diesen Containern befinden, in andere Gruppen oder Organisationseinheiten innerhalb der Domäne verschieben, Sie können sie jedoch nicht in andere Domänen verschieben.
Einige der in diesem Artikel aufgeführten administrativen Gruppen sowie alle Mitglieder dieser Gruppen werden durch einen Hintergrundprozess geschützt, der regelmäßig einen bestimmten Sicherheitsdeskriptor überprüft und anwendet. Dieser Deskriptor ist eine Datenstruktur, die die einem geschützten Objekt zugeordneten Sicherheitsinformationen enthält. Dadurch wird sichergestellt, dass jeder erfolgreiche nicht autorisierte Versuch, den Sicherheitsdeskriptor für eines der Administratorkonten oder -gruppen zu ändern, mit den geschützten Einstellungen überschrieben wird.
Der Sicherheitsdeskriptor befindet sich im Objekt „AdminSDHolder“. Wenn Sie die Berechtigungen für eine der Dienstadministratorgruppen oder für eines ihrer Mitgliedskonten ändern möchten, müssen Sie den Sicherheitsdeskriptor für das Objekt „AdminSDHolder“ so ändern, dass er konsistent angewendet wird. Seien Sie vorsichtig, wenn Sie diese Änderungen vornehmen, denn Sie ändern damit auch die Standardeinstellungen, die auf alle geschützten Administratorkonten angewendet werden.
Active Directory-Standardsicherheitsgruppen
Die folgende Liste enthält Beschreibungen der Standardgruppen in den Containern „Vordefiniert“ und „Benutzer“ in Active Directory:
- Zugriffssteuerungs-Unterstützungsoperatoren
- Konten-Operatoren
- Administratoren
- Zulässige RODC-Kennwortreplikation
- Sicherungsoperatoren
- Zertifikatdienst-DCOM-Zugriff
- Zertifikatherausgeber
- Klonbare Domänencontroller
- Kryptografie-Operatoren
- Abgelehnte RODC-Kennwortreplikation
- Gerätebesitzer
- DHCP-Administratoren
- DHCP-Benutzer
- Distributed COM-Benutzer
- DnsUpdateProxy
- DnsAdmins
- Domänenadministratoren
- Domänencomputer
- Domänencontroller
- Domänen-Gäste
- Domänenbenutzer
- Organisationsadministratoren
- Enterprise Key-Administratoren
- Schreibgeschützte Domänencontroller der Organisation
- Event Log Readers
- Gruppenrichtlinienersteller-Besitzer
- Guests
- Hyper-V-Administratoren
- IIS_IUSRS
- Eingehende Gesamtstruktur-Vertrauensstellung
- Schlüsseladministratoren
- Netzwerkkonfigurations-Operatoren
- Leistungsprotokollbenutzer
- Systemmonitorbenutzer
- Prä-Windows 2000-kompatibler Zugriff
- Druckoperatoren
- Geschützte Benutzer
- RAS- und IAS-Server
- RDS Endpoint Servers
- RDS-Verwaltungsserver
- RDS-Remotezugriffsserver
- Schreibgeschützte Domänencontroller
- Remotedesktopbenutzer
- Remoteverwaltungsbenutzer
- Replicator
- Schema-Admins
- Server-Operatoren
- Speicherreplikatadministratoren
- Systemseitig verwaltete Konten
- Terminalserver-Lizenzserver
- Benutzer
- Windows-Autorisierungszugriff
- WinRMRemoteWMIUsers_
Zugriffssteuerungs-Unterstützungsoperatoren
Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf dem Computer remote abfragen.
Die Gruppe „Zugriffssteuerungs-Unterstützungsoperatoren“ gilt für das in der Tabelle der Active Directory-Standardsicherheitsgruppen aufgeführte Windows Server-Betriebssystem.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-579 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Konten-Operatoren
Die Gruppe „Konten-Operatoren“ gewährt einem Benutzer eingeschränkte Berechtigungen zum Erstellen von Konten. Mitglieder dieser Gruppe können die meisten Kontotypen erstellen und ändern, einschließlich Konten für Benutzer, lokale Gruppen und globale Gruppen. Gruppenmitglieder können sich lokal bei Domänencontrollern anmelden.
Mitglieder der Gruppe „Konten-Operatoren“ können das Administratorbenutzerkonto, die Benutzerkonten von Administratoren oder die Gruppen Administratoren, Server-Operatoren, Konten-Operatoren, Sicherungsoperatoren oder Druck-Operatoren nicht verwalten. Mitglieder dieser Gruppe können Benutzerrechte nicht ändern.
Die Gruppe „Konten-Operatoren“ gilt für das Windows Server-Betriebssystem in den Listen der Active Directory-Standardsicherheitsgruppen.
Hinweis
Standardmäßig enthält diese vordefinierte Gruppe keine Mitglieder. Die Gruppe kann Benutzer und Gruppen in der Domäne erstellen und verwalten, einschließlich ihrer eigenen Mitgliedschaft und die der Gruppe „Server-Operatoren“. Diese Gruppe gilt als Dienstadministratorgruppe, da sie „Server-Operatoren“ ändern kann, die wiederum die Domänencontrollereinstellungen ändern können. Als bewährte Methode sollten Sie die Mitgliedschaft dieser Gruppe leer lassen, und sie nicht für eine delegierte Verwaltung verwenden. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-548 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Lokale Anmeldung zulassen: SeInteractiveLogonRight |
Administratoren
Mitglieder der Gruppe „Administratoren“ haben vollständigen und uneingeschränkten Zugriff auf den Computer. Wenn der Computer zu einem Domänencontroller heraufgestuft wird, haben Mitglieder der Gruppe „Administratoren“ uneingeschränkten Zugriff auf die Domäne.
Die Gruppe „Administratoren“ gilt für das Windows Server-Betriebssystem in den Listen der Active Directory-Standardsicherheitsgruppen.
Hinweis
Die Gruppe „Administratoren“ verfügt über vordefinierte Funktionen, die ihren Mitgliedern die vollständige Kontrolle über das System geben. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden. Diese vordefinierte Gruppe steuert den Zugriff auf alle Domänencontroller in ihrer Domäne und kann die Mitgliedschaft aller administrativen Gruppen ändern. Mitglieder der folgenden Gruppen können die Mitgliedschaft in der Gruppe „Administratoren“ ändern: „Standarddienstadministratoren“, „Domänen-Admins“ in der Domäne und „Organisations-Admins“. Diese Gruppe verfügt über die besondere Berechtigung, den Besitz jedes Objekts im Verzeichnis oder einer jeder Ressource auf einem Domänencontroller zu übernehmen. Dieses Konto gilt als Dienstadministratorgruppe, da die Mitglieder Vollzugriff auf die Domänencontroller in der Domäne haben.
Diese Sicherheitsgruppe enthält die folgenden Änderungen seit Windows Server 2008:
Änderungen an Standardbenutzerrechten: Anmelden über Terminaldienste zulassen in Windows Server 2008 wurde durch Anmelden über Remotedesktopdienste zulassen ersetzt.
Computer aus der Dockingstation entfernen wurde in Windows Server 2012 R2 entfernt.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-544 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | „Administrator“, „Domänen-Admins“, „Organisations-Admins“ |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Arbeitsspeicherkontingente für einen Prozess anpassen: SeIncreaseQuotaPrivilege Auf diesen Computer vom Netzwerk aus zugreifen: SeNetworkLogonRight Lokale Anmeldung zulassen: SeInteractiveLogonRight Anmelden über Remotedesktopdienste zulassen: SeRemoteInteractiveLogonRight Dateien und Verzeichnisse sichern: SeBackupPrivilege Traversierungsüberprüfung umgehen: SeChangeNotifyPrivilege Systemzeit ändern: SeSystemtimePrivilege Zeitzone ändern: SeTimeZonePrivilege Auslagerungsdatei erstellen: SeCreatePagefilePrivilege Globale Objekte erstellen: SeCreateGlobalPrivilege Symbolische Verknüpfungen erstellen: SeCreateSymbolicLinkPrivilege Programme debuggen: SeDebugPrivilege Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird: SeEnableDelegationPrivilege Herunterfahren von einem Remotesystem aus erzwingen: SeRemoteShutdownPrivilege Nach Authentifizierung Clientidentität annehmen: SeImpersonatePrivilege Zeitplanungspriorität erhöhen: SeIncreaseBasePriorityPrivilege Gerätetreiber laden und entladen: SeLoadDriverPrivilege Als Stapelverarbeitungsauftrag anmelden: SeBatchLogonRight Überwachungs- und Sicherheitsprotokolle verwalten: SeSecurityPrivilege Firmwareumgebungsvariablen ändern: SeSystemEnvironmentPrivilege Volumewartungsaufgaben ausführen: SeManageVolumePrivilege Profil der Systemleistung erstellen: SeSystemProfilePrivilege Profil für einen Einzelprozess erstellen: SeProfileSingleProcessPrivilege Computer von der Dockingstation entfernen: SeUndockPrivilege Dateien und Verzeichnisse wiederherstellen: SeRestorePrivilege System heruntergefahren: SeShutdownPrivilege Besitz von Dateien und Objekten übernehmen: SeTakeOwnershipPrivilege |
Zulässige RODC-Kennwortreplikation
Der Zweck dieser Sicherheitsgruppe besteht darin, eine Kennwortreplikationsrichtlinie für den schreibgeschützten Domänencontroller (RODC) zu verwalten. Diese Gruppe enthält standardmäßig keine Mitglieder, und dies führt dazu, dass neue schreibgeschützte Domänencontroller keine Benutzeranmeldeinformationen zwischenspeichern. Die Gruppe Abgelehnte RODC-Kennwortreplikation enthält verschiedene Konten und Sicherheitsgruppen mit erhöhten Berechtigungen. Die Gruppe „Abgelehnte RODC-Kennwortreplikation“ hat Vorrang vor der Gruppe „Zulässige RODC-Kennwortreplikation“.
Die Gruppe „Zulässige RODC-Kennwortreplikation“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-571 |
| type | Lokal (in Domäne) |
| Standardcontainer | CN=Users DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Sicherungsoperatoren
Mitglieder der Gruppe „Sicherungsoperatoren“ können alle Dateien auf einem Computer sichern und wiederherstellen, und zwar unabhängig von den Berechtigungen, die diese Dateien schützen. Sicherungsoperatoren können sich auch am Computer anmelden und ihn herunterfahren. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden. Standardmäßig enthält diese vordefinierte Gruppe keine Mitglieder und kann Sicherungs- und Wiederherstellungsvorgänge auf Domänencontrollern ausführen. Mitglieder der folgenden Gruppen können die Mitgliedschaft in der Gruppe „Sicherungsoperatoren“ ändern: „Standarddienstadministratoren“, „Domänen-Admins“ in der Domäne und „Organisations-Admins“. Mitglieder der Gruppe „Sicherungsoperatoren“ können die Mitgliedschaft anderer administrativer Gruppen nicht ändern. Mitglieder dieser Gruppe können zwar keine Servereinstellungen ändern oder die Konfiguration des Verzeichnisses ändern, sie verfügen jedoch über die erforderlichen Berechtigungen zum Ersetzen von Dateien (einschließlich Betriebssystemdateien) auf Domänencontrollern. Da Mitglieder dieser Gruppe Dateien auf Domänencontrollern ersetzen können, gelten sie als Dienstadministratoren.
Die Gruppe „Sicherungsoperatoren“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-551 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Lokale Anmeldung zulassen: SeInteractiveLogonRight Dateien und Verzeichnisse sichern: SeBackupPrivilege Als Stapelverarbeitungsauftrag anmelden: SeBatchLogonRight Dateien und Verzeichnisse wiederherstellen: SeRestorePrivilege System heruntergefahren: SeShutdownPrivilege |
Zertifikatdienst-DCOM-Zugriff
Mitglieder dieser Gruppe können eine Verbindung mit Zertifizierungsstellen im Unternehmen herstellen.
Die Gruppe „Zertifikatdienst-DCOM-Zugriff“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-<Domäne>-574 |
| type | Lokal (in Domäne) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Zertifikatherausgeber
Mitglieder der Gruppe „Zertifikatherausgeber“ sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen.
Die Gruppe „Zertifikatherausgeber“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-517 |
| type | Lokal (in Domäne) |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Abgelehnte RODC-Kennwortreplikation |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Klonbare Domänencontroller
Mitglieder der Gruppe „Klonbare Domänencontroller“, die Domänencontroller sind, können geklont werden. In Windows Server 2012 R2 und Windows Server 2012 können Sie Domänencontroller bereitstellen, indem Sie einen vorhandenen virtuellen Domänencontroller kopieren. In einer virtuellen Umgebung müssen Sie nicht mehr wiederholt ein mithilfe von Sysprep.exe vorbereitetes Serverimage bereitstellen, um den Server auf einen Domänencontroller heraufzustufen, und dann weitere Konfigurationsanforderungen für die Bereitstellung der einzelnen Domänencontroller erfüllen (einschließlich des Hinzufügens des virtuellen Domänencontrollers zu dieser Sicherheitsgruppe).
Weitere Informationen finden Sie unter Einführung in die Virtualisierung der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) (Ebene 100).
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-522 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Kryptografie-Operatoren
Mitglieder dieser Gruppe sind autorisiert, kryptografische Vorgänge auszuführen. Diese Sicherheitsgruppe wurde in Windows Vista Service Pack 1 (SP1) hinzugefügt, um die Windows-Firewall für IPsec im Modus „Common Criteria“ zu konfigurieren.
Die Gruppe „Kryptografie-Operatoren“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
Diese Sicherheitsgruppe wurde in Windows Vista SP1 eingeführt und hat sich in nachfolgenden Versionen nicht geändert.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-569 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Abgelehnte RODC-Kennwortreplikation
Kennwörter von Mitgliedern der Gruppe „Abgelehnte RODC-Kennwortreplikation“ können nicht auf einen schreibgeschützten Domänencontroller repliziert werden.
Der Zweck dieser Sicherheitsgruppe besteht darin, eine RODC-Kennwortreplikationsrichtlinie zu verwalten. Diese Gruppe enthält verschiedene Konten und Sicherheitsgruppen mit erhöhten Berechtigungen. Die Gruppe „Abgelehnte RODC-Kennwortreplikation“ hat Vorrang vor der Gruppe Zulässige RODC-Kennwortreplikation.
Diese Sicherheitsgruppe enthält die folgenden Änderungen seit Windows Server 2008:
- In Windows Server 2012 wurden die Standardmitglieder um Zertifikatherausgeber erweitert.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-572 |
| type | Lokal (in Domäne) |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Zertifikatherausgeber Gruppenrichtlinienersteller-Besitzer |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Gerätebesitzer
Wenn die Gruppe „Gerätebesitzer“ keine Mitglieder enthält, wird empfohlen, die Standardkonfiguration für diese Sicherheitsgruppe nicht zu ändern. Das Ändern der Standardkonfiguration kann zukünftige Szenarien behindern, die auf dieser Gruppe basieren. Die Gruppe „Gerätebesitzer“ wird in Windows derzeit nicht verwendet.
Die Gruppe „Gerätebesitzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-583 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Sie können die Gruppe verschieben, dies wird aber nicht empfohlen. |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Lokale Anmeldung zulassen: SeInteractiveLogonRight Auf diesen Computer vom Netzwerk aus zugreifen: SeNetworkLogonRight Traversierungsüberprüfung umgehen: SeChangeNotifyPrivilege Zeitzone ändern: SeTimeZonePrivilege |
DHCP-Administratoren
Mitglieder der Gruppe „DHCP-Administratoren“ können verschiedene Bereiche des Serverbereichs erstellen, löschen und verwalten, einschließlich der Rechte zum Sichern und Wiederherstellen der DHCP-Datenbank (Dynamic Host Configuration Protocol). Obwohl diese Gruppe über Administratorrechte verfügt, ist sie nicht Teil der Gruppe „Administratoren“, da diese Rolle auf DHCP-Dienste beschränkt ist.
Die Gruppe „DHCP-Administratoren“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne> |
| Typ | Lokal (in Domäne) |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Benutzer |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Sie können die Gruppe verschieben, dies wird aber nicht empfohlen. |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
DHCP-Benutzer
Mitglieder der Gruppe „DHCP-Benutzer“ können sehen, welche Bereiche aktiv oder inaktiv sind, welche IP-Adressen zugewiesen sind, und Konnektivitätsprobleme anzeigen, wenn der DHCP-Server nicht ordnungsgemäß konfiguriert ist. Diese Gruppe ist auf schreibgeschützten Zugriff auf den DHCP-Server beschränkt.
Die Gruppe „DHCP-Benutzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne> |
| Typ | Lokal (in Domäne) |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Benutzer |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Sie können die Gruppe verschieben, dies wird aber nicht empfohlen. |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Distributed COM-Benutzer
Mitglieder der Gruppe „Distributed COM-Benutzer“ können Distributed COM-Objekte auf dem Computer starten, aktivieren und verwenden. Microsoft Component Object Model (COM) ist ein plattformunabhängiges, verteiltes und objektorientiertes System zum Erstellen von binären Softwarekomponenten, die miteinander kommunizieren können. Distributed Component Object Model (DCOM) ermöglicht die Verteilung von Anwendungen auf Standorte, die für Sie und die Anwendung am sinnvollsten sind. Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (auch als flexible einfache Mastervorgänge oder FSMO bezeichnet).
Die Gruppe „Distributed COM-Benutzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-562 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
DnsUpdateProxy
Mitglieder der Gruppe „DnsUpdateProxy“ sind DNS-Clients. Sie dürfen dynamische Updates im Auftrag anderer Clients ausführen, z. B. für DHCP-Server. Ein DNS-Server kann veraltete Ressourcendatensätze entwickeln, wenn ein DHCP-Server so konfiguriert ist, dass er Host- (A) und Pointer- (PTR) Ressourcendatensätze im Namen von DHCP-Clients mithilfe dynamischen Updates dynamisch registriert. Das Hinzufügen von Clients zu dieser Sicherheitsgruppe entschärft dieses Szenario.
Um sich jedoch vor ungesicherten Datensätzen zu schützen oder Mitgliedern der Gruppe „DnsUpdateProxy“ die Registrierung von Datensätzen in Zonen zu ermöglichen, die nur gesicherte dynamische Updates zulassen, müssen Sie ein dediziertes Benutzerkonto erstellen und DHCP-Server so konfigurieren, dass sie dynamische DNS-Updates unter Verwendung der Anmeldeinformationen (Benutzername, Kennwort und Domäne) dieses Kontos durchführen. Mehrere DHCP-Server können die Anmeldeinformationen eines dedizierten Benutzerkontos verwenden. Diese Gruppe ist nur vorhanden, wenn die DNS-Serverrolle auf einem Domänencontroller in der Domäne installiert ist oder einmal installiert wurde.
Weitere Informationen finden Sie unter DNS-Datensatzbesitz und die Gruppe „DnsUpdateProxy“.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-<variable RI> |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
DnsAdmins
Mitglieder der Gruppe „DnsAdmins“ haben Zugriff auf Netzwerk-DNS-Informationen. Die Standardberechtigungen sind „Zulassen: Lesen“, „Schreiben“, „Alle untergeordneten Objekte erstellen“, „Untergeordnete Objekte löschen“, „Spezielle Berechtigungen“. Diese Gruppe ist nur vorhanden, wenn die DNS-Serverrolle auf einem Domänencontroller in der Domäne installiert ist oder einmal installiert wurde.
Weitere Informationen zu Sicherheit und DNS finden Sie unter DNSSEC in Windows Server 2012.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-<variable RI> |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Domänenadministratoren
Mitglieder der Sicherheitsgruppe „Domänen-Admins“ sind berechtigt, die Domäne zu verwalten. Standardmäßig ist die Gruppe „Domänen-Admins“ ein Mitglied der Gruppe „Administratoren“ auf allen Computern, die in eine Domäne eingebunden sind, einschließlich der Domänencontroller. Die Gruppe „Domänen-Admins“ ist der Standardbesitzer jedes Objekts, das in Active Directory von einem beliebigen Mitglied der Gruppe für die Domäne erstellt wird. Wenn Mitglieder der Gruppe andere Objekte erstellen, z. B. Dateien, ist die Gruppe „Administratoren“ der Standardbesitzer.
Die Gruppe „Domänen-Admins“ steuert den Zugriff auf alle Domänencontroller in einer Domäne und kann die Mitgliedschaft aller Administratorkonten in der Domäne ändern. Mitglieder der Dienstadministratorgruppen in ihrer Domäne (Administratoren und Domänen-Admins) sowie Mitglieder der Gruppe „Organisations-Admins“ können die „Domänen-Admins“-Mitgliedschaft ändern. Diese Gruppe gilt als Dienstadministratorkonto, da die Mitglieder Vollzugriff auf die Domänencontroller in einer Domäne haben.
Die Gruppe „Domänen-Admins“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-512 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Administrator |
| Standardmitglied von | Administratoren |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Siehe Administratoren |
Domänencomputer
Diese Gruppe kann alle Computer und Server umfassen, die in eine Domäne eingebunden sind, ausgenommen Domänencontroller. Jedes Computerkonto, das erstellt wird, ist standardmäßig automatisch Mitglied dieser Gruppe.
Die Gruppe „Domänencomputer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-515 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Alle in die Domäne eingebundenen Computer mit Ausnahme von Domänencontrollern |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja (aber nicht erforderlich) |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Ja |
| Standardbenutzerrechte | Keine |
Domänencontroller
Die Gruppe „Domänencontroller“ kann alle Domänencontroller in der Domäne enthalten. Neue Domänencontroller werden dieser Gruppe automatisch hinzugefügt.
Die Gruppe „Domänencontroller“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-516 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Computerkonten für alle Domänencontroller der Domäne |
| Standardmitglied von | Abgelehnte RODC-Kennwortreplikation |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Nein |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Domänen-Gäste
Die Gruppe „Domänen-Gäste“ enthält das vordefinierte Gastkonto der Domäne. Wenn sich Mitglieder dieser Gruppe auf einem in die Domäne eingebundenen Computer als lokale Gäste anmelden, wird auf dem lokalen Computer ein Domänenprofil erstellt.
Die Gruppe „Domänen-Gäste“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-514 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Gast |
| Standardmitglied von | Guests |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Sie können die Gruppe verschieben, dies wird aber nicht empfohlen. |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Siehe Gäste |
Domänenbenutzer
Die Gruppe „Domänenbenutzer“ umfasst alle Benutzerkonten in einer Domäne. Wenn Sie ein Benutzerkonto in einer Domäne erstellen, wird es automatisch zu dieser Gruppe hinzugefügt.
Jedes Benutzerkonto, das in der Domäne erstellt wird, ist standardmäßig automatisch Mitglied dieser Gruppe. Mit dieser Gruppe können alle Benutzer in der Domäne dargestellt werden. Wenn Sie beispielsweise möchten, dass alle Domänenbenutzer Zugriff auf einen Drucker haben, können Sie dieser Gruppe Berechtigungen für den Drucker zuweisen oder die Gruppe „Domänenbenutzer“ einer lokalen Gruppe auf dem Druckserver hinzufügen, die über Berechtigungen für den Drucker verfügt.
Die Gruppe „Domänenbenutzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-513 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Administrator |
| krbtgt | |
| Standardmitglied von | Benutzer |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Siehe Benutzer |
Organisationsadministratoren
Die Gruppe „Organisations-Admins“ ist nur in der Stammdomäne einer Active Directory-Gesamtstruktur von Domänen vorhanden. Die Gruppe ist eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet. Die Gruppe ist eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet. Mitglieder dieser Gruppe sind berechtigt, gesamtstrukturweite Änderungen in Active Directory vorzunehmen, z. B. das Hinzufügen untergeordneter Domänen.
Standardmäßig ist das Administratorkonto für die Stammdomäne der Gesamtstruktur das einzige Mitglied der Gruppe. Diese Gruppe wird automatisch zur Gruppe „Administratoren“ in jeder Domäne in der Gesamtstruktur hinzugefügt und bietet Vollzugriff auf die Konfiguration aller Domänencontroller. Mitglieder dieser Gruppe können die Mitgliedschaft aller administrativen Gruppen ändern. Mitglieder der Standarddienstadministrator-Gruppen in der Stammdomäne können die „Organisations-Admins“-Mitgliedschaft ändern. Diese Gruppe gilt als Dienstadministratorkonto.
Die Gruppe „Organisations-Admins“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Stammdomäne>-519 |
| type | „Universell“, wenn sich die Domäne im einheitlichen Modus befindet; andernfalls „Global“ |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Administrator |
| Standardmitglied von | Administratoren |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Siehe Administratoren |
Enterprise Key-Administratoren
Mitglieder dieser Gruppe können Administratoraktionen für wichtige Objekte innerhalb der Gesamtstruktur ausführen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-527 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Schreibgeschützte Domänencontroller der Organisation
Mitglieder dieser Gruppe sind RODC im Unternehmen. Mit Ausnahme von Kontokennwörtern enthält ein schreibgeschützter Domänencontroller alle Active Directory-Objekte und -Attribute, die ein beschreibbarer Domänencontroller enthält. An der auf dem schreibgeschützten Domänencontroller gespeicherten Datenbank können jedoch keine Änderungen vorgenommen werden. Änderungen müssen auf einem beschreibbaren Domänencontroller vorgenommen und dann auf den schreibgeschützten Domänencontroller repliziert werden.
Schreibgeschützte Domänencontroller beheben einige der Probleme, die häufig in Zweigstellen auftreten. Diese Standorte verfügen möglicherweise über keinen Domänencontroller, oder sie verfügen über einen beschreibbaren Domänencontroller, aber nicht über die physische Sicherheit, Netzwerkbandbreite oder lokale Expertise für dessen Unterstützung.
Weitere Informationen finden Sie unter Was ist ein schreibgeschützter Domänencontroller?
Die Gruppe „Domänencontroller der Organisation ohne Schreibzugriff“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Stammdomäne>-498 |
| type | Universell |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Event Log Readers
Mitglieder dieser Gruppe können Ereignisprotokolle von lokalen Computern lesen. Die Gruppe wird erstellt, wenn der Server zu einem Domänencontroller heraufgestuft wird.
Die Gruppe „Ereignisprotokollleser“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-573 |
| type | Lokal (in Domäne) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Gruppenrichtlinienersteller-Besitzer
Diese Gruppe ist berechtigt, Gruppenrichtlinienobjekte in der Domäne zu erstellen, zu bearbeiten und zu löschen. Standardmäßig ist „Administrator“ das einzige Mitglied der Gruppe.
Informationen zu anderen Features, die Sie mit dieser Sicherheitsgruppe verwenden können, finden Sie unter Übersicht über Gruppenrichtlinien.
Die Gruppe „Gruppenrichtlinie-Ersteller-Besitzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-520 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Administrator |
| Standardmitglied von | Abgelehnte RODC-Kennwortreplikation |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Nein |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Siehe Abgelehnte RODC-Kennwortreplikation |
Gäste
Mitglieder der Gruppe „Gäste“ haben standardmäßig denselben Zugriff wie Mitglieder der Gruppe „Benutzer“, für das Gastkonto gelten aber einige weitere Einschränkungen. Standardmäßig ist das Gastkonto das einzige Mitglied. Die Gruppe „Gäste“ ermöglicht es gelegentlichen oder einmaligen Benutzern, sich mit eingeschränkten Berechtigungen für das vordefinierte Gastkonto bei einem Computer anzumelden.
Wenn sich ein Mitglied der Gruppe „Gäste“ abmeldet, wird das gesamte Profil gelöscht. Die Profillöschung umfasst alles, was im Verzeichnis %userprofile% gespeichert ist, einschließlich der Registrierungsstrukturinformationen des Benutzers, der benutzerdefinierten Desktopsymbole und anderer benutzerspezifischer Einstellungen. Diese Tatsache impliziert, dass ein Gast ein temporäres Profil verwenden muss, um sich beim System anzumelden. Diese Sicherheitsgruppe interagiert mit der Gruppenrichtlinieneinstellung. Wenn diese Sicherheitsgruppe aktiviert ist, melden Sie keine Benutzer mit temporären Profilen an. Um auf diese Einstellung zuzugreifen, wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>System>Benutzerprofile.
Hinweis
Ein Gastkonto ist ein Standardmitglied der Sicherheitsgruppe „Gäste“. Personen, die kein Konto in der Domäne besitzen, können das Gastkonto verwenden. Benutzer, deren Konto deaktiviert (jedoch nicht gelöscht) ist, können ebenfalls das Gastkonto verwenden. Für das Gastkonto ist kein Kennwort erforderlich. Sie können die Rechte und Berechtigungen für das Gastkonto wie in jedem anderen Benutzerkonto festlegen. Standardmäßig ist das Gastkonto Mitglied der vordefinierten Gruppe „Gäste“ sowie der globalen Gruppe „Domänen-Gäste“. Somit können sich die Benutzer bei einer Domäne anmelden. Das Gastkonto ist standardmäßig deaktiviert, und es empfiehlt sich, das Konto deaktiviert zu lassen.
Die Gruppe „Gäste“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-546 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Domänen-Gäste |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Hyper-V-Administratoren
Mitglieder der Grippe „Hyper-V-Administratoren“ haben vollständigen und uneingeschränkten Zugriff auf alle Features in Hyper-V. Das Hinzufügen von Mitgliedern zu dieser Gruppe trägt dazu bei, die erforderliche Anzahl von Mitgliedern in der Gruppe „Administratoren“ zu reduzieren und den Zugriff weiter zu trennen.
Hinweis
Vor Windows Server 2012 wurde der Zugriff auf Features in Hyper-V teilweise durch die Mitgliedschaft in der Gruppe „Administratoren“ gesteuert.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-578 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
IIS_IUSRS
IIS_IUSRS ist eine vordefinierte Gruppe, die von Internetinformationsdiensten (IIS) ab IIS 7 verwendet wird. Das Betriebssystem garantiert, dass vordefinierte Konten und Gruppen immer eine eindeutige SID aufweisen. IIS 7 ersetzt das Konto „IUSR_MachineName“ und die Gruppe „IIS_WPG“ durch die Gruppe „IIS_IUSRS“, um sicherzustellen, dass die tatsächlichen Namen, die das neue Konto und die Gruppe verwenden, nie lokalisiert werden. Unabhängig von der Sprache des installierten Windows-Betriebssystems lautet der IIS-Kontoname beispielsweise immer „IUSR“ und der Gruppenname immer „IIS_IUSRS“.
Weitere Informationen finden Sie unter Grundlegendes zu vordefinierten Benutzer- und Gruppenkonten in IIS 7.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-568 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | IUSR |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Eingehende Gesamtstruktur-Vertrauensstellung
Mitglieder der Gruppe „Eingehende Gesamtstruktur-Vertrauensstellung“ können eingehende, unidirektionale Vertrauensstellungen für diese Gesamtstruktur erstellen. Active Directory verwendet Domänen- und Gesamtstruktur-Vertrauensstellungen, um Sicherheit über mehrere Domänen oder Gesamtstrukturen hinweg zu bieten. Damit Authentifizierung über Vertrauensstellungen hinweg erfolgen kann, muss Windows überprüfen, ob die von einem Benutzer, Computer oder Dienst angeforderte Domäne über eine Vertrauensstellung mit der Anmeldedomäne des anfordernden Kontos verfügt.
Um diese Feststellung zu treffen, berechnet das Windows-Sicherheitssystem einen Vertrauenspfad zwischen dem Domänencontroller für den Server, der die Anforderung empfängt, und einem Domänencontroller in der Domäne des anfordernden Kontos. Ein geschützter Kanal erstreckt sich auf andere Azure Directory-Domänen über Vertrauensstellungen zwischen Domänen. Dieser geschützte Kanal wird verwendet, um Sicherheitsinformationen abzurufen und zu überprüfen, beispielsweise SIDs für Benutzer und Gruppen.
Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
Weitere Informationen finden Sie unter Funktionsweise von Domänen- und Gesamtstrukturvertrauensstellungen: Domänen- und Gesamtstrukturvertrauensstellungen.
Die Gruppe „Eingehende Gesamtstruktur-Vertrauensstellung“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-557 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Schlüsseladministratoren
Mitglieder dieser Gruppe können Administratoraktionen für wichtige Objekte innerhalb der Domäne ausführen.
Die Gruppe „Schlüsseladministratoren“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-526 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Netzwerkkonfigurations-Operatoren
Mitglieder der Gruppe „Netzwerkkonfigurations-Operatoren“ können über die folgenden Administratorrechte zum Verwalten der Konfiguration von Netzwerkfeatures verfügen:
Ändern der TCP/IP-Eigenschaften für eine LAN-Verbindung, die die IP-Adresse, die Subnetzmaske, das Standardgateway und die Namenserver umfasst.
Umbenennen der LAN-Verbindungen oder Remotezugriffsverbindungen, die für alle Benutzer verfügbar sind.
Aktivieren oder Deaktivieren einer LAN-Verbindung.
Ändern der Eigenschaften aller Remotezugriffsverbindungen von Benutzern.
Löschen aller Remotezugriffsverbindungen von Benutzern.
Umbenennen aller Remotezugriffsverbindungen von Benutzern.
Ausgeben der Befehle
ipconfig,ipconfig /releaseundipconfig /renew.Eingeben des PIN-Entsperrschlüssels (PIN Unblock Key, PUK) für mobile Breitbandgeräte mit SIM-Karte.
Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
Die Gruppe „Netzwerkkonfigurations-Operatoren“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-556 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Ja |
| Standardbenutzerrechte | Keine |
Leistungsprotokollbenutzer
Mitglieder der Gruppe „“Leistungsprotokollbenutzer“ können Leistungszähler, Protokolle und Warnungen lokal auf dem Server und über Remoteclients verwalten, ohne Mitglied der Gruppe „Administratoren“ sein zu müssen. Insbesondere Mitglieder dieser Sicherheitsgruppe:
Kann alle Features verwenden, die für die Gruppe „Systemmonitorbenutzer“ verfügbar sind.
Kann Datensammlersätze erstellen und ändern, nachdem der Gruppe das Benutzerrecht Als Stapelverarbeitungsauftrag anmelden zugewiesen wurde.
Warnung
Wenn Sie Mitglied der Gruppe „Leistungsprotokollbenutzer“ sind, müssen Sie die von Ihnen erstellten Datensammlersätze so konfigurieren, dass sie unter Ihren Anmeldeinformationen ausgeführt werden.
Hinweis
In Windows Server 2016 und höher kann ein Mitglied der Gruppe „Leistungsprotokollbenutzer“ keine Datensammlersätze erstellen. Wenn ein Mitglied der Gruppe „Leistungsprotokollbenutzer“ versucht, Datensammlersätze zu erstellen, kann die Aktion nicht abgeschlossen werden, da der Zugriff verweigert wird.
Der Ereignisanbieter „Windows Kernel-Ablaufverfolgung“ in Datensammlersätzen nicht verwendet werden.
Damit Mitglieder der Gruppe „Leistungsprotokollbenutzer“ die Datenprotokollierung initiieren oder Datensammlersätze ändern können, muss der Gruppe zunächst das Benutzerrecht Als Stapelverarbeitungsauftrag anmelden zugewiesen werden. Um dieses Benutzerrecht zuzuweisen, verwenden Sie das Snap-In „Lokale Sicherheitsrichtlinie“ in Microsoft Management Console (MMC).
Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Dieses Konto kann nicht umbenannt, gelöscht oder verschoben werden.
Die Gruppe „Leistungsprotokollbenutzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-559 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Ja |
| Standardbenutzerrechte | Als Stapelverarbeitungsauftrag anmelden: SeBatchLogonRight |
Systemmonitorbenutzer
Mitglieder dieser Gruppe können Leistungsindikatoren auf Domänencontrollern in der Domäne lokal und über Remoteclients überwachen, ohne Mitglied der Gruppen „Administratoren“ oder „Leistungsprotokollbenutzer“ sein zu müssen. Der Windows-Systemmonitor ist ein MMC-Snap-In (Microsoft Management Console), in dem Tools zum Analysieren der Systemleistung bereitgestellt werden. Von einer zentralen Konsole aus können Sie die Anwendungs- und Hardwareleistung überwachen, festlegen, welche Daten Sie in Protokollen erfassen möchten, Schwellenwerte für Warnungen und automatische Aktionen definieren, Berichte erstellen und ältere Leistungsdaten auf verschiedene Weise anzeigen.
Insbesondere Mitglieder dieser Sicherheitsgruppe:
Kann alle Features verwenden, die für die Gruppe „Benutzer“ verfügbar sind.
Kann Echtzeitleistungsdaten im Systemmonitor anzeigen.
Kann die Systemmonitor-Anzeigeeigenschaften beim Anzeigen von Daten ändern.
Datensammlersätze können nicht erstellt oder geändert werden.
Warnung
Mitglieder der Gruppe „Systemmonitorbenutzer“ können keine Datensammlungssätze konfigurieren.
Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
Die Gruppe „Systemmonitorbenutzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-558 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Ja |
| Standardbenutzerrechte | Keine |
Prä-Windows 2000-kompatibler Zugriff
Mitglieder der Gruppe „Prä-Windows 2000-kompatibler Zugriff“ verfügen über Lesezugriff für alle Benutzer und Gruppen in der Domäne. Diese Gruppe wird aus Gründen der Abwärtskompatibilität für Computer unter Windows NT 4.0 und früher bereitgestellt. Die besondere Identitätsgruppe „Jeder“ ist standardmäßig ein Mitglied dieser Gruppe. Fügen Sie dieser Gruppe nur dann Benutzer hinzu, wenn sie unter Windows NT 4.0 oder früher ausgeführt werden.
Warnung
Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO).
Die Gruppe „Prä-Windows 2000-kompatibler Zugriff“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-554 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Wenn Sie den Modus „Prä-Windows 2000-kompatible Berechtigungen“ auswählen, sind „Jeder“ und „Anonym“ Mitglieder. Wenn Sie den Berechtigungsmodus „Nur Windows 2000“ auswählen, sind authentifizierte Benutzer Mitglieder. |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Auf diesen Computer vom Netzwerk aus zugreifen: SeNetworkLogonRight Traversierungsüberprüfung umgehen: SeChangeNotifyPrivilege |
Druckoperatoren
Mitglieder dieser Gruppe können Drucker, die mit Domänencontrollern in der Domäne verbunden sind, verwalten, erstellen, freigeben und löschen. Sie können zudem Active Directory-Druckerobjekte in der Domäne verwalten. Mitglieder dieser Gruppe können sich lokal bei Domänencontrollern in der Domäne anmelden und diese herunterfahren.
Diese Gruppe besitzt keine Standardmitglieder. Da Mitglieder dieser Gruppe Gerätetreiber auf allen Domänencontrollern in der Domäne laden und entladen können, sollten Sie Benutzer mit Vorsicht hinzufügen. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
Die Gruppe „Druck-Operatoren“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
Weitere Informationen finden Sie unter Zuweisen delegierter Druckadministrator- und Druckerberechtigungseinstellungen in Windows Server 2012.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-550 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Lokale Anmeldung zulassen: SeInteractiveLogonRight Gerätetreiber laden und entladen: SeLoadDriverPrivilege System heruntergefahren: SeShutdownPrivilege |
Geschützte Benutzer
Mitglieder der Gruppe „Geschützte Benutzer“ verfügen über zusätzlichen Schutz vor der Kompromittierung von Anmeldeinformationen während der Authentifizierungsprozesse.
Die Sicherheitsgruppe wurde als Teil einer Strategie für den effizienten Schutz und eine effiziente Verwaltung von Anmeldeinformationen innerhalb des Unternehmens entworfen. Für Mitglieder dieser Gruppe gilt automatisch nicht konfigurierbarer Schutz für deren Konten. Eine Mitgliedschaft in der Gruppe der geschützten Benutzer bedeutet standardmäßig eine restriktive und proaktive Sicherheit. Die einzige Möglichkeit, wie Sie den Schutz für ein Konto ändern können, besteht darin, das Konto aus der Sicherheitsgruppe zu entfernen.
Diese domänenbezogene globale Gruppe löst nicht konfigurierbaren Schutz auf Geräten und Hostcomputern aus, beginnend mit den Betriebssystemen Windows Server 2012 R2 und Windows 8.1. Außerdem wird nicht konfigurierbarer Schutz auf Domänencontrollern in Domänen ausgelöst, die über einen primären Domänencontroller mit Windows Server 2016 oder Windows Server 2012 R2 verfügen. Durch diesen Schutz wird der Speicherbedarf von Anmeldeinformationen signifikant reduziert, wenn Benutzer sich von einem nicht gefährdeten Computer aus bei Computern im Netzwerk anmelden.
Abhängig von der Domänenfunktionsebene des Kontos sind Mitglieder der Gruppe „Geschützte Benutzer“ aufgrund der Verhaltensänderungen in den Authentifizierungsmethoden, die in Windows unterstützt werden, weiter geschützt:
Mitglieder der Gruppe „Geschützte Benutzer“ können sich nicht mit den folgenden Sicherheitssupportanbietern (Security Support Providers, SSPs) authentifizieren: NTLM, Digestauthentifizierung oder CredSSP. Kennwörter werden auf einem Gerät mit Windows 10 oder Windows 8.1 nicht zwischengespeichert. Daher kann sich das Gerät nicht bei einer Domäne authentifizieren, wenn das Konto Mitglied der Gruppe „Geschützter Benutzer“ ist.
Das Kerberos-Protokoll verwendet die schwächeren Verschlüsselungstypen DES oder RC4 nicht im Vorauthentifizierungsprozess. Die Domäne mindestens muss für die Unterstützung der AES-Verschlüsselungssammlungen konfiguriert sein.
Das Konto des Benutzers kann nicht mit der eingeschränkten und uneingeschränkten Kerberos-Delegierung delegiert werden. Wenn der Benutzer Mitglied der Gruppe „Geschützte Benutzer“ ist, können frühere Verbindungen mit anderen Systemen fehlschlagen.
Sie können die Standardeinstellung für die Lebensdauer von Kerberos-TGTs (Ticket Granting Tickets) von vier Stunden mit Authentifizierungsrichtlinien und -silos über das Active Directory-Verwaltungscenter ändern. In der Standardeinstellung muss sich der Benutzer nach vier Stunden erneut authentifizieren.
Die Gruppe „Geschützte Benutzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
Diese Gruppe wurde in Windows Server 2012 R2 eingeführt. Weitere Informationen zur Funktionsweise dieser Gruppe finden Sie unter Sicherheitsgruppe „Geschützte Benutzer“.
In der folgenden Tabelle sind die Eigenschaften der Gruppe „Geschützte Benutzer“ aufgeführt.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-525 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
RAS- und IAS-Server
Computer, die Mitglieder der Gruppe „RAS- und IAS-Server“ sind, können bei ordnungsgemäßer Konfiguration Remotezugriffsdienste verwenden. Standardmäßig enthält diese Gruppe keine Mitglieder. Computer, auf denen der Routing- und RAS-Dienst (RRAS) und Remotezugriffsdienste wie Internetauthentifizierungsdienst (IAS) und Netzwerkrichtlinienserver ausgeführt werden, werden der Gruppe automatisch hinzugefügt. Mitglieder dieser Gruppe haben Zugriff auf bestimmte Eigenschaften von Benutzerobjekten, z. B. „Kontoeinschränkungen lesen“, „Anmeldeinformationen lesen“ und „Remotezugriffsinformationen lesen“.
Die Gruppe „RAS- und IAS-Server“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-553 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Ja |
| Standardbenutzerrechte | Keine |
RDS Endpoint Servers
Server, die Mitglieder der Gruppe „RDS-Endpunktserver“ sind, können virtuelle Computer ausführen und Sitzungen hosten, in denen RemoteApp-Benutzerprogramme und persönliche virtuelle Desktops ausgeführt werden. Sie müssen diese Gruppe auf Servern mit RD-Verbindungsbrokern auffüllen. Sitzungshostserver und RD-Virtualisierungshostserver, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.
Informationen zu Remotedesktopdiensten (RDS) finden Sie unter Hosten von Desktops und Apps in Remotedesktopdiensten.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-576 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
RDS-Verwaltungsserver
Sie können Server verwenden, die Mitglieder der Gruppe „RDS-Verwaltungsserver“ sind, um routinemäßige Administratoraktionen auf Servern durchzuführen, auf denen RDS ausgeführt wird. Sie müssen diese Gruppe auf allen Servern in einer RDS-Bereitstellung auffüllen. Die Server, auf denen der RDS Central Management-Dienst ausgeführt wird, müssen in dieser Gruppe enthalten sein.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-577 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
RDS-Remotezugriffsserver
Server in der Gruppe „RDS-Remotezugriffsserver“ bieten Benutzern Zugriff auf RemoteApp-Programme und persönliche virtuelle Desktops. Bei Bereitstellungen mit Internetzugriff werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Sie müssen diese Gruppe auf Servern mit RD-Verbindungsbrokern auffüllen. RD-Gatewayserver und RD-Webzugriffsserver, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.
Weitere Informationen finden Sie unter Hosten von Desktops und Apps in Remotedesktopdiensten.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-575 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Read-only-Domänencontroller
Diese Gruppe besteht aus den schreibgeschützten Domänencontrollern in der Domäne. Ein schreibgeschützter Domänencontroller ermöglicht Organisationen die einfache Bereitstellung eines Domänencontrollers in Szenarien, in denen die physische Sicherheit nicht garantiert werden kann, z. B. an Zweigstellenstandorten oder wenn die lokale Speicherung aller Domänenkennwörter als primäre Bedrohung angesehen wird, z. B. in einem Extranet oder einer anwendungsorientierten Rolle.
Da Sie die Verwaltung eines schreibgeschützten Domänencontrollers an einen Domänenbenutzer oder eine Sicherheitsgruppe delegieren können, eignet sich ein schreibgeschützter Domänencontroller gut für einen Standort, der keinen Benutzer aufweisen sollte, der Mitglied der Gruppe „Domänenadministratoren“ ist. Ein schreibgeschützter Domänencontroller verfügt über folgende Funktionen:
Enthält die schreibgeschützte AD DS-Datenbank
Unidirektionale Replikation
Zwischenspeichern von Anmeldeinformationen
Administratorrollentrennung
Enthält das schreibgeschützte Domain Name System (DNS)
Weitere Informationen finden Sie unter Grundlegendes zur Planung und Bereitstellung für schreibgeschützte Domänencontroller.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-521 |
| type | Global |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Abgelehnte RODC-Kennwortreplikation |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Siehe Abgelehnte RODC-Kennwortreplikation |
Remotedesktopbenutzer
Verwenden Sie die Gruppe „Remotedesktopbenutzer“ auf einem RD-Sitzungshostserver, um Benutzern und Gruppen Berechtigungen für die Remoteverbindung mit einem RD-Sitzungshostserver zu gewähren. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden. Die Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO).
Die Gruppe „Remotedesktopbenutzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-555 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Ja |
| Standardbenutzerrechte | Keine |
Remoteverwaltungsbenutzer
Mitglieder der Gruppe „Remoteverwaltungsbenutzer“ können über Verwaltungsprotokolle wie WS-Management über den Windows-Remoteverwaltungsdienst auf Ressourcen der Windows-Verwaltungsinstrumentation (WMI) zugreifen. Der Zugriff auf WMI-Ressourcen gilt nur für WMI-Namespaces, die dem Benutzer Zugriff gewähren.
Verwenden Sie die Gruppe „Remoteverwaltungsbenutzer“, um Benutzern die Verwaltung von Servern über die Server-Manager-Konsole zu ermöglichen. Verwenden Sie die Gruppe WinRMRemoteWMIUsers\_, um Benutzern die Remoteausführung von Windows PowerShell-Befehlen zu ermöglichen.
Weitere Informationen finden Sie unter Neuigkeiten in MI und Informationen zu WMI.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-580 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Replicator
Computer, die Mitglieder der Replikationsgruppe sind, unterstützen die Dateireplikation in einer Domäne. Windows Server-Betriebssysteme verwenden den Dateireplikationsdienst (FRS), um Systemrichtlinien und Anmeldeskripts zu replizieren, die im Systemvolumeordner („sysvol“) gespeichert sind. Jeder Domänencontroller speichert eine Kopie des Ordners „sysvol“, auf den Netzwerkclients zugreifen können. FRS kann auch Daten für das verteilte Dateisystem (DFS) replizieren und den Inhalt jedes Members in einem Replikatsatz synchronisieren, wie von DFS definiert. FRS kann freigegebene Dateien und Ordner gleichzeitig auf mehreren Servern kopieren und verwalten. Wenn Änderungen auftreten, werden Inhalte innerhalb von Websites sofort und zwischen Websites nach einem Zeitplan synchronisiert.
Warnung
In Windows Server 2008 R2 können Sie FRS nicht verwenden, um DFS-Ordner oder benutzerdefinierte Daten (aus anderen als dem sysvol-Ordner) zu replizieren. Ein Windows Server 2008 R2-Domänencontroller kann weiterhin FRS verwenden, um den Inhalt der freigegebenen Ressource im sysvol-Ordner in einer Domäne zu replizieren, die FRS verwendet, um die freigegebene Ressource im sysvol-Ordner zwischen Domänencontrollern zu replizieren. Windows Server 2008 R2-Server FRS können jedoch nicht verwenden, um den Inhalt eines Replikatsatzes (mit Ausnahme der freigegebenen Ressource im sysvol-Ordner) zu replizieren. Der DFS-Replikationsdienst ist ein Ersatz für FRS. Sie können die DFS-Replikation verwenden, um den Inhalt einer freigegebenen Ressource im sysvol-Ordner, DFS-Ordner und andere benutzerdefinierte Daten (aus anderen als dem sysvol-Ordner) zu replizieren. Sie sollten alle FRS-Replikatsätze aus anderen als dem sysvol-Ordner zur DFS-Replikation migrieren.
Weitere Informationen finden Sie unter
- Der Dateireplikationsdienst (FRS) ist seit Windows Server 2008 R2 (Windows) veraltet.
- Übersicht über DFS-Namespaces und DFS-Replikation
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-552 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |
Schema-Admins
Mitglieder der Gruppe „Schema-Admins“ können das Active Directory-Schema ändern. Diese Gruppe ist nur in der Stammdomäne einer Active Directory-Gesamtstruktur von Domänen vorhanden. Die Gruppe ist eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet. Diese Gruppe ist eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet.
Die Gruppe ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das Administratorkonto für die Stammdomäne der Gesamtstruktur das einzige Mitglied der Gruppe. Diese Gruppe hat vollständigen administrativen Zugriff auf das Schema.
Jede der Dienstadministratorgruppen in der Stammdomäne kann die Mitgliedschaft dieser Gruppe ändern. Diese Gruppe gilt als Dienstadministratorkonto, da ihre Mitglieder das Schema ändern können, das die Struktur und den Inhalt des gesamten Verzeichnisses steuert.
Weitere Informationen finden Sie unter Was ist das Active Directory-Schema?
Die Gruppe „Schema-Admins“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Stammdomäne>-518 |
| type | „Universell“ (wenn sich „Domäne“ im einheitlichen Modus befindet), andernfalls „Global“ |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Administrator |
| Standardmitglied von | Abgelehnte RODC-Kennwortreplikation |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Siehe Abgelehnte RODC-Kennwortreplikation |
Server-Operatoren
Mitglieder der Gruppe „Server-Operatoren“ können Domänencontroller verwalten. Diese Gruppe ist nur auf Domänencontrollern vorhanden. Standardmäßig enthält die Gruppe keine Mitglieder. Mitglieder der Gruppe „Server-Operatoren“ können die folgenden Aktionen ausführen: Interaktive Anmeldung bei einem Server, Erstellen und Löschen freigegebener Netzwerkressourcen, Starten und Beenden von Diensten, Sichern und Wiederherstellen von Dateien, Formatieren der Festplatte des Computers und Herunterfahren des Computers. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
Standardmäßig enthält diese vordefinierte Gruppe keine Mitglieder. Die Gruppe hat Zugriff auf Serverkonfigurationsoptionen auf Domänencontrollern. Seine Mitgliedschaft wird von den Dienstadministratorgruppen „Administratoren“ und „Domänen-Admins“ in der Domäne sowie von der Gruppe „Organisations-Admins“ in der Stammdomäne der Gesamtstruktur gesteuert. Mitglieder dieser Gruppe können keine Administratorgruppenmitgliedschaften ändern. Diese Gruppe gilt als Dienstadministratorkonto, da die Mitglieder physischen Zugriff auf Domänencontroller haben. Mitglieder dieser Gruppe können Wartungsaufgaben wie Sicherung und Wiederherstellung ausführen und auf den Domänencontrollern installierte Binärdateien ändern. Sehen Sie sich die Standardbenutzerrechte der Gruppe in der folgenden Tabelle an.
Die Gruppe „Server-Operatoren“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-549 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Ja |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Lokale Anmeldung zulassen: SeInteractiveLogonRight Dateien und Verzeichnisse sichern: SeBackupPrivilege Systemzeit ändern: SeSystemtimePrivilege Zeitzone ändern: SeTimeZonePrivilege Herunterfahren von einem Remotesystem aus erzwingen: SeRemoteShutdownPrivilege Wiederherstellen von Dateien und Verzeichnissen: Wiederherstellen von Dateien und Verzeichnissen „SeRestorePrivilege“ System heruntergefahren: SeShutdownPrivilege |
Speicherreplikatadministratoren
Mitglieder der Gruppe „Speicherreplikatadministratoren“ haben vollständigen und uneingeschränkten Zugriff auf alle Features des Speicherreplikats. Die Gruppe „Speicherreplikatadministratoren“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-582 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Systemseitig verwaltete Konten
Die Mitgliedschaft in der Gruppe „Systemseitig verwaltete Konten“ wird vom System verwaltet.
Die Gruppe „Systemseitig verwaltete Konten“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-581 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Benutzer |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Terminalserver-Lizenzserver
Mitglieder der Gruppe „Terminalserver-Lizenzserver“ können Benutzerkonten in Active Directory mit Informationen zur Lizenzausstellung aktualisieren. Die Gruppe wird verwendet, um die Nutzung der „Pro Benutzer“-Clientzugriffslizenz für TS nachzuverfolgen und in Berichten zu erfassen. Eine TS-Pro-Benutzer-CAL gibt einem Benutzer das Recht, von einer unbegrenzten Anzahl von Clientcomputern oder Geräten auf eine Terminal Server-Instanz zuzugreifen. Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
Weitere Informationen zu dieser Sicherheitsgruppe finden Sie unter Konfiguration der Sicherheitsgruppe „Terminaldienste-Lizenzserver“.
Die Gruppe „Terminalserver-Lizenzserver“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-561 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Ja |
| Standardbenutzerrechte | Keine |
Benutzer
Versehentliche oder beabsichtigte systemweite Änderungen durch Mitglieder der Gruppe „Benutzer“ sind nicht möglich. Mitglieder dieser Gruppe können die meisten Anwendungen ausführen. Nach der Erstinstallation des Betriebssystems ist das einzige Mitglied die Gruppe „Authentifizierte Benutzer“. Wenn ein Computer einer Domäne beitritt, wird die Gruppe „Domänenbenutzer“ der Gruppe „Benutzer“ auf dem Computer hinzugefügt.
Benutzer können Aufgaben ausführen, z. B. eine Anwendung ausführen, lokale Drucker und Netzwerkdrucker verwenden, den Computer herunterfahren und den Computer sperren. Benutzer können Anwendungen installieren, die nur sie verwenden können, wenn das Installationsprogramm der Anwendung die Installation pro Benutzer unterstützt. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
Die Gruppe „Benutzer“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
Diese Sicherheitsgruppe enthält die folgenden Änderungen seit Windows Server 2008:
In Windows Server 2008 R2 wurde „Interaktiv“ zur Standardmitgliederliste hinzugefügt.
In Windows Server 2012 wurde die Standardliste „Mitglied von“ von „Domänenbenutzer“ in „Keine“ geändert.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-545 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Authentifizierte Benutzer |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Nein |
| Standardbenutzerrechte | Keine |
Windows-Autorisierungszugriff
Mitglieder dieser Gruppe haben Zugriff auf das berechnete „GroupsGlobalAndUniversal“-Tokenattribut für Benutzerobjekte. Einige Anwendungen verfügen über Features, die das Attribut „token-groups-global-and-universal“ (TGGAU) für Benutzerkontoobjekte oder Computerkontoobjekte in AD DS lesen. Einige Win32-Funktionen erleichtern das Lesen des TGGAU-Attributs. Anwendungen, die dieses Attribut lesen oder eine API (eine Funktion) aufrufen, die dieses Attribut liest, sind nicht erfolgreich, wenn der aufrufende Sicherheitskontext keinen Zugriff auf das Attribut hat. Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.
Die Gruppe „Windows-Autorisierungszugriff“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-32-560 |
| type | Lokal (vordefiniert) |
| Standardcontainer | CN=Builtin, DC=<Domäne>, DC= |
| Standardelemente | Domänencontroller des Unternehmens |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Kann nicht verschoben werden |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | Ja |
| Standardbenutzerrechte | Keine |
WinRMRemoteWMIUsers_
In Windows Server 2012 und Windows 8 wurde der Benutzeroberfläche für erweiterte Sicherheitseinstellungen eine Registerkarte Freigeben hinzugefügt. Auf dieser Registerkarte werden die Sicherheitseigenschaften einer Remotedateifreigabe angezeigt. Zum Anzeigen dieser Informationen müssen Sie, je nach der auf dem Dateiserver ausgeführten Version von Windows Server, über die folgenden Berechtigungen und Mitgliedschaften verfügen.
Die Gruppe „WinRMRemoteWMIUsers_“ gilt für das Windows Server-Betriebssystem in Active Directory-Standardsicherheitsgruppen.
Wenn die Dateifreigabe auf einem Server gehostet wird, auf dem eine unterstützte Version des Betriebssystems ausgeführt wird:
Sie müssen ein Mitglied der Gruppe „WinRMRemoteWMIUsers__“ oder der Gruppe „BUILTIN\Administrators“ sein.
Sie müssen über Leseberechtigungen für die Dateifreigabe verfügen.
Wenn die Dateifreigabe auf einem Server gehostet wird, auf dem eine ältere Version von Windows Server als Windows Server 2012 ausgeführt wird:
Sie müssen ein Mitglied der Gruppe „BUILTIN\Administrators“ sein.
Sie müssen über Leseberechtigungen für die Dateifreigabe verfügen.
In Windows Server 2012 fügt die Funktion „Unterstützung nach ‚Zugriff verweigert‘“ der lokalen Gruppe „WinRMRemoteWMIUsers__“ die Gruppe „Authentifizierte Benutzer“ hinzu. Wenn die Funktion „Unterstützung nach ‚Zugriff verweigert‘“ aktiviert ist, können alle authentifizierten Benutzer, die über Leseberechtigungen für die Dateifreigabe verfügen, die Dateifreigabeberechtigungen anzeigen.
Hinweis
Die Gruppe „WinRMRemoteWMIUsers__“ ermöglicht die Remoteausführung von Windows PowerShell-Befehlen. Im Gegensatz dazu verwenden Sie in der Regel die Gruppe Remoteverwaltungsbenutzer, um Benutzern das Verwalten von Servern mithilfe der Server-Manager-Konsole zu ermöglichen.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-<variable RI> |
| type | Lokal (in Domäne) |
| Standardcontainer | CN=Users, DC=<Domäne>, DC= |
| Standardelemente | Keine |
| Standardmitglied von | Keine |
| Geschützt durch AdminSDHolder? | Nein |
| Speichern, um aus Standardcontainer zu entfernen? | Ja |
| Speichern, um die Verwaltung dieser Gruppe zu Nicht-Dienstadministratoren zu delegieren? | |
| Standardbenutzerrechte | Keine |