Apéndice B: Guía de referencia de cuentas y grupos con privilegios de Active Directory

Active Directory Domain Services contiene numerosas cuentas y grupos integrados a los que se conceden privilegios elevados para realizar tareas administrativas. A estas cuentas con privilegios se les conceden derechos, privilegios y permisos eficaces que les permiten realizar casi cualquier acción en Active Directory y en sistemas unidos a un dominio.

En este apéndice se proporciona información esencial sobre:

• Derechos, privilegios y permisos.
• Grupos de privilegios más altos.
• Cuentas integradas y predeterminadas.

Comprender estas cuentas y grupos con privilegios es fundamental para implementar estrategias eficaces de supervisión y controles de seguridad. La información de este apéndice sirve como base para las recomendaciones de seguridad específicas e instrucciones de implementación proporcionadas en los anexos adjuntos.

Importante

Las cuentas y grupos descritos en este apéndice tienen privilegios amplios que pueden afectar a todo el bosque de Active Directory. La seguridad adecuada de estas cuentas es fundamental para mantener la integridad del entorno de directorio.

Derechos, privilegios y permisos en Active Directory

Las diferencias entre derechos, permisos y privilegios pueden resultar confusos. En esta sección se describen algunas de las características de cada una de las cuales se usan en este documento. Estas descripciones no deben considerarse autoritativas para otra documentación de Microsoft, ya que podría usar estos términos de forma diferente.

Derechos y privilegios

Los derechos y privilegios son eficazmente las mismas funcionalidades de todo el sistema que le se conceden a las entidades de seguridad, como usuarios, servicios, equipos o grupos. En las interfaces que suelen usar los profesionales de TI, se conoce como derechos o derechos de usuario, y a menudo se asignan mediante objetos de directiva de grupo. La siguiente captura de pantalla muestra algunos de los derechos de usuario más comunes que se pueden asignar a las entidades de seguridad (representa el GPO de controladores de dominio predeterminados en un dominio de Windows Server 2012). Algunos de estos derechos se aplican a Active Directory, como el de Habilitar confianza con el equipo y las cuentas de usuario para delegación, mientras otros derechos se aplican al sistema operativo de Windows, como el de Cambiar la hora del sistema.

En interfaces como el Editor de objetos de directiva de grupo, todas estas funcionalidades asignables se conocen ampliamente como derechos de usuario. Sin embargo, en realidad, algunos derechos de usuario se conocen mediante programación como derechos, mientras que otros se conocen mediante programación como privilegios. Aunque la directiva de grupo y otras interfaces los llaman a todos ellos como permisos de usuario, algunos se identifican mediante programación como derechos, mientras que otros se definen como privilegios.

Para obtener más información sobre cada uno de los derechos de usuario enumerados en la tabla siguiente, consulte Guía de amenazas y contramedidas: Derechos de usuario en la guía de mitigación de amenazas y vulnerabilidades para Windows Server.

Nota

Para los fines de este documento, los derechos de los términos y los derechos de usuario se usan para identificar derechos y privilegios a menos que se especifique lo contrario.

Permisos

Los permisos son controles de acceso que se aplican a objetos protegibles, como el sistema de archivos, el registro, el servicio y los objetos de Active Directory. Cada objeto protegible tiene una lista de control de acceso (ACL) asociada que contiene entradas de control de acceso (ACE), estas conceden o niegan la capacidad de realizar varias operaciones en el objeto a las entidades de seguridad (usuarios, servicios, equipos o grupos). Por ejemplo, las ACL de muchos objetos de Active Directory contienen ACL que permiten a los usuarios autenticados leer información general sobre los objetos, pero no les concede la capacidad de leer información confidencial o cambiar los objetos. Excepto para la cuenta de invitado integrada de cada dominio, cada entidad de seguridad que inicia sesión y se autentica mediante un controlador de dominio en un bosque de Active Directory o un bosque de confianza tiene agregado el identificador de seguridad (SID) de usuarios autenticados a su token de acceso de forma predeterminada. Por lo tanto, la operación de lectura se realiza correctamente si un usuario, servicio o cuenta de equipo intenta leer las propiedades generales en objetos de usuario de un dominio.

Si una entidad de seguridad intenta tener acceso a un objeto para el que no se definen ACL y que contienen un SID que está presente en el token de acceso de la entidad de seguridad, la entidad de seguridad no puede tener acceso al objeto. Además, si una ACE de una ACL de un objeto contiene una entrada de denegación para un SID que coincide con el token de acceso del usuario, la ACE de denegación generalmente invalida una ACE permitida en conflicto. Para obtener más información sobre el control de acceso en Windows, consulte Control de acceso en el sitio web de MSDN.

Dentro de este documento, los permisos hacen referencia a las funcionalidades que se conceden o se deniegan a las entidades de seguridad en objetos protegibles. Siempre que haya un conflicto entre un derecho de usuario y un permiso, el derecho de usuario suele tener prioridad. Por ejemplo, si un objeto de Active Directory está configurado con una ACL que deniega a los administradores todo el acceso de lectura y escritura a un objeto, un usuario que es miembro del grupo Administradores del dominio no puede ver mucha información sobre el objeto. Sin embargo, dado que al grupo Administradores se le concede el derecho de usuario Tomar posesión de archivos u otros objetos, el usuario simplemente puede tomar posesión del objeto en cuestión y, a continuación, volver a escribir la ACL del objeto para conceder a los administradores el control total del objeto.

Por este motivo, este documento le anima a evitar el uso de cuentas y grupos eficaces para la administración diaria, en lugar de intentar restringir las funcionalidades de las cuentas y grupos. No es posible detener eficazmente a un usuario determinado que tiene acceso a credenciales eficaces mediante esas credenciales para obtener acceso a cualquier recurso protegible.

Cuentas y grupos con privilegios integrados

Active Directory está pensado para facilitar la delegación de la administración y el principio de privilegios mínimos al asignar derechos y permisos. Los usuarios normales que tienen cuentas en un dominio de Active Directory son, de forma predeterminada, capaces de leer gran parte de lo que se almacena en el directorio, pero solo pueden cambiar un conjunto limitado de datos en el directorio. A los usuarios que requieren privilegios adicionales se les puede conceder la pertenencia a varios grupos con privilegios integrados en el directorio para que puedan realizar tareas específicas relacionadas con sus roles, pero no pueden realizar tareas que no sean relevantes para sus tareas.

Dentro de Active Directory, hay tres grupos integrados que componen los grupos de privilegios más altos del directorio, además de un cuarto grupo, el grupo Administradores de esquemas (SA):

• Administradores de empresas (EA)
• Admins. del dominio (DA)
• Administradores integrados (BA)
• Administradores de esquema (SA)

Los administradores de esquemas (SA), que tiene privilegios que pueden dañar o destruir un bosque completo de Active Directory si se abusan, pero este grupo está más restringido en sus funcionalidades que los grupos EA, DA y BA.

Además de estos cuatro grupos, hay muchas cuentas y grupos integrados y predeterminados adicionales en Active Directory, cada uno de los cuales tiene derechos y permisos que permiten realizar tareas administrativas específicas. Aunque este apéndice no proporciona una explicación exhaustiva de todos los grupos integrados o predeterminados de Active Directory, proporciona una tabla de los grupos y cuentas que es más probable que vea en las instalaciones.

Por ejemplo, si instala Microsoft Exchange Server en un bosque de Active Directory, es posible que se creen cuentas y grupos adicionales en los contenedores Integrados y Usuarios de los dominios. Este apéndice solo describe los grupos y cuentas que se crean en los contenedores integrados y de usuarios de Active Directory en función de los roles y características nativos. No se incluyen cuentas y grupos creados por la instalación de software empresarial.

Administradores de empresas

El grupo Administradores de empresa (EA) se encuentra en el dominio raíz del bosque y, de forma predeterminada, es miembro del grupo administradores integrado en todos los dominios del bosque. La cuenta de administrador integrada en el dominio raíz del bosque es el único miembro predeterminado del grupo EA. Los grupos EA tienen derechos y permisos que les permiten hacer cambios en todo el bosque. Estos cambios afectan a todos los dominios del bosque, como agregar o quitar dominios, establecer confianzas de bosque o aumentar los niveles funcionales del bosque. En un modelo de delegación correctamente diseñado e implementado, la pertenencia a EA solo se requiere al crear el bosque o al realizar determinados cambios globales en este, como establecer una relación de confianza del bosque de salida.

El grupo ea se encuentra de forma predeterminada en el contenedor Usuarios del dominio raíz del bosque y es un grupo de seguridad universal, a menos que el dominio raíz del bosque se ejecute en modo mixto de Windows 2000 Server, en cuyo caso el grupo es un grupo de seguridad global. Aunque algunos derechos se conceden directamente al grupo ea, muchos de los derechos de este grupo los hereda el grupo ea porque es miembro del grupo Administradores de cada dominio del bosque. Los administradores de empresa no tienen derechos predeterminados en estaciones de trabajo o servidores miembros.

Admins. del dominio

Cada dominio de un bosque tiene su propio grupo de administradores del dominio (DA), que es miembro del grupo de administradores predefinidos (BA) de ese dominio, así como miembro del grupo de administradores locales de cada equipo unido al dominio. El único miembro predeterminado del grupo DA de un dominio es la cuenta de administrador integrada de ese dominio.

Los grupos DA tienen "poder total" en sus dominios, mientras que los grupos EA tienen privilegios en todo el bosque. En un modelo de delegación correctamente diseñado e implementado, la pertenencia a DA solo debe ser necesaria en escenarios de emergencia , que son situaciones en las que se necesita una cuenta con altos niveles de privilegios en todos los equipos del dominio o cuando se deben realizar determinados cambios en todo el dominio. Aunque los mecanismos nativos de delegación de Active Directory permiten la delegación en la medida en que es posible usar cuentas de DA solo en escenarios de emergencia, la construcción de un modelo de delegación eficaz puede llevar mucho tiempo y muchas organizaciones usan aplicaciones de terceros para acelerar el proceso.

El grupo DA es un grupo de seguridad global ubicado en el contenedor Usuarios del dominio. Hay un grupo DA para cada dominio del bosque y el único miembro predeterminado de un grupo DA es la cuenta de administrador integrada del dominio. Dado que el grupo DA de un dominio está anidado en el grupo BA del dominio y en todos los grupos administradores locales del sistema unido a un dominio, las ENTIDADES de dominio no solo tienen permisos que se conceden a los administradores de dominio, sino que también heredan todos los derechos y permisos concedidos al grupo Administradores del dominio y al grupo de administradores locales en todos los sistemas unidos al dominio.

Administradores

El grupo de administradores integrados (BA) es un grupo local de dominio en el contenedor integrado de un dominio en el que están anidados los DAs y las ENTIDADES de certificación, y es este grupo al que se conceden muchos de los derechos y permisos directos en el directorio y en los controladores de dominio. Sin embargo, el grupo Administradores de un dominio no tiene privilegios en servidores miembros ni en estaciones de trabajo. Donde se conceden privilegios locales es en la pertenencia al grupo de administradores locales de los equipos unidos a un dominio; y de los grupos mencionados, solo los grupos DA son miembros de todos los grupos de administradores locales de todos los equipos unidos a un dominio de forma predeterminada.

El grupo de administradores es un grupo local de dominio en el contenedor integrado del dominio. De forma predeterminada, cada grupo de BA del dominio contiene la cuenta de administrador integrada del dominio local, el grupo DA del dominio local y el grupo EA del dominio raíz del bosque. Muchos derechos de usuario en Active Directory y en los controladores de dominio se conceden específicamente al grupo de administradores, no a los grupos EA o DA. Al grupo BA de un dominio se le conceden permisos de control total en la mayoría de los objetos de directorio y pueden tomar posesión de los objetos de directorio. Aunque a los grupos EA y DA se les conceden determinados permisos específicos del objeto en el bosque y los dominios, gran parte del poder de los grupos se hereda de su pertenencia a grupos ba.

Nota

Aunque estas son las configuraciones predeterminadas de estos grupos con privilegios, un miembro de cualquiera de los tres grupos puede manipular el directorio para pasar a ser miembro de cualquiera de los otros grupos. En algunos casos, es trivial lograr, mientras que en otros es más difícil, pero desde la perspectiva de los posibles privilegios, los tres grupos deben considerarse equivalentes de forma eficaz.

Administradores de esquema

El grupo de administradores de esquemas (SA) es un grupo universal en el dominio raíz del bosque y solo tiene la cuenta de administrador integrada de ese dominio como miembro predeterminado, similar al grupo EA. Aunque la pertenencia al grupo de SA puede permitir que un atacante ponga en peligro el esquema de Active Directory, que es el marco para todo el bosque de Active Directory, las grupos SA tienen pocos derechos y permisos predeterminados más allá del esquema.

Debe administrar y supervisar cuidadosamente la pertenencia al grupo sa, pero en algunos aspectos, este grupo tiene menos privilegios que los tres grupos con privilegios más altos descritos anteriormente porque el ámbito de sus privilegios es estrecho; es decir, las SA no tienen derechos administrativos en ningún otro lugar que no sea el esquema.

Grupos integrados y predeterminados adicionales en Active Directory

Para facilitar la delegación de la administración en el directorio, Active Directory se distribuye con varios grupos integrados y predeterminados con permisos y derechos específicos concedidos. Estos grupos se describen brevemente en la siguiente tabla.

En las secciones siguientes se enumeran los grupos integrados y predeterminados de Active Directory. Ambos conjuntos de grupos existen de forma predeterminada. No obstante, los grupos integrados se encuentran (de forma predeterminada) en el contenedor integrado de Active Directory, mientras que los grupos predeterminados se encuentran (de forma predeterminada) en el contenedor Usuarios de Active Directory. Los grupos del contenedor integrado son todos los grupos locales del dominio, mientras que los grupos del contenedor Usuarios son una combinación de grupos del dominio local, global y universal, además de tres cuentas de usuario individuales (administrador, invitado y Krbtgt).

Además de los grupos con privilegios más altos mencionados anteriormente en este apéndice, se conceden privilegios elevados a algunas cuentas y grupos integrados y predeterminados y también se deben proteger y usar solo en hosts administrativos seguros. Dado que a algunos de estos grupos y cuentas se les conceden derechos y permisos que se pueden usar incorrectamente para poner en peligro Active Directory o controladores de dominio, se les conceden más protecciones, como se describe en el Apéndice C: Cuentas protegidas y grupos en Active Directory.

Operadores de asistencia de control de acceso

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden consultar de forma remota atributos y permisos de autorización para los recursos de este equipo.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: Active Directory en Windows Server 2012 y versiones posteriores.

Operadores de cuentas

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros pueden administrar cuentas de grupo y usuario de dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Cuenta de administrador

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, No un grupo
• Descripción y derechos de usuario predeterminados: Cuenta integrada para administrar el dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Ajustar las cuotas de la memoria para un proceso
  • Permitir el inicio de sesión local
  • Permitir inicio de sesión a través de Servicios de Escritorio remoto
  • Hacer copias de seguridad de archivos y directorios
  • Omitir comprobación de recorrido
  • Cambiar la hora del sistema
  • Cambiar la zona horaria
  • Crear un archivo de paginación
  • Crear objetos globales
  • Crear vínculos simbólicos
  • Programas de depuración
  • Habilitar confianza con las cuentas de usuario y de equipo para delegación
  • Forzar cierre desde un sistema remoto
  • Suplantar un cliente después de autenticación
  • Aumentar el espacio de trabajo de un proceso
  • Aumentar prioridad de programación
  • Cargar y descargar controladores de dispositivo
  • Iniciar sesión como proceso por lotes
  • Administrar la auditoría y el registro de seguridad
  • Modificar valores de entorno firmware
  • Realizar tareas de mantenimiento del volumen
  • Analizar un solo proceso
  • Analizar el rendimiento del sistema
  • Quitar equipo de la estación de acoplamiento
  • Restaurar archivos y directorios
  • Apagar el sistema
  • Tomar posesión de archivos y otros objetos

Grupo de administradores

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los administradores tienen acceso completo y sin restricciones al dominio.
• Derechos de usuario directo:
  • Obtener acceso a este equipo desde la red
  • Ajustar las cuotas de la memoria para un proceso
  • Permitir el inicio de sesión local
  • Permitir inicio de sesión a través de Servicios de Escritorio remoto
  • Hacer copias de seguridad de archivos y directorios
  • Omitir comprobación de recorrido
  • Cambiar la hora del sistema
  • Cambiar la zona horaria
  • Crear un archivo de paginación
  • Crear objetos globales
  • Crear vínculos simbólicos
  • Programas de depuración
  • Habilitar confianza con las cuentas de usuario y de equipo para delegación
  • Forzar cierre desde un sistema remoto
  • Suplantar un cliente después de autenticación
  • Aumentar prioridad de programación
  • Cargar y descargar controladores de dispositivo
  • Iniciar sesión como proceso por lotes
  • Administrar la auditoría y el registro de seguridad
  • Modificar valores de entorno firmware
  • Realizar tareas de mantenimiento del volumen
  • Analizar un solo proceso
  • Analizar el rendimiento del sistema
  • Quitar equipo de la estación de acoplamiento
  • Restaurar archivos y directorios
  • Apagar el sistema
  • Tomar posesión de archivos y otros objetos
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Grupo con permiso para replicar contraseñas en RODC

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden tener sus contraseñas replicadas en todos los controladores de dominio de solo lectura del dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Operadores de copias de seguridad

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los operadores de copia de seguridad pueden invalidar las restricciones de seguridad para el único propósito de realizar copias de seguridad o restaurar archivos.
• Derechos de usuario directo:
  • Permitir el inicio de sesión local
  • Hacer copias de seguridad de archivos y directorios
  • Iniciar sesión como proceso por lotes
  • Restaurar archivos y directorios
  • Apagar el sistema
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Publicadores de certificados

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden publicar certificados en el directorio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Acceso DCOM de servicio de Certificate Service

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Si Servicios de certificados está instalado en un controlador de dominio (no recomendado), este grupo concede acceso de inscripción de DCOM a usuarios de dominio y equipos de dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Controladores de dominio clonables

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo que son controladores de dominio se pueden clonar.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: Active Directory en Windows Server 2012 y versiones posteriores.

Operadores criptográficos

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros están autorizados para realizar operaciones criptográficas.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios del depurador

• Contenedor predeterminado, ámbito de grupo y tipo: Esto no es un grupo predeterminado ni integrado, pero cuando está presente en AD DS, se debe a una investigación más detallada.
• Descripción y derechos de usuario predeterminados: La presencia de un grupo Usuarios del depurador indica que las herramientas de depuración se han instalado en el sistema en algún momento, ya sea a través de Visual Studio, SQL, Office u otras aplicaciones que requieren y admiten un entorno de depuración. Este grupo permite el acceso de depuración remota a los equipos. Cuando este grupo está en el nivel de dominio, indica que se ha instalado un depurador o una aplicación que contiene un depurador en un controlador de dominio.

Grupo sin permiso para replicar contraseñas en RODC

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo no pueden tener sus contraseñas replicadas en ningún controlador de dominio de solo lectura en el dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Administradores de DHCP

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo tienen acceso administrativo al servicio servidor DHCP.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios de DHCP

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo tienen acceso de solo vista al servicio servidor DHCP.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios de COM distribuido

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden iniciar, activar y usar objetos COM distribuidos en este equipo.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

DnsAdmins

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo tienen acceso administrativo al servicio servidor DNS.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

DnsUpdateProxy

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo son clientes DNS que pueden realizar actualizaciones dinámicas en nombre de los clientes que no pueden realizar actualizaciones dinámicas. Los miembros de este grupo suelen ser servidores DHCP.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Admins. del dominio

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Administradores designados del dominio; Los administradores de dominio son miembros de todos los grupos de administradores locales del equipo unido a un dominio y reciben derechos y permisos concedidos al grupo administradores local, además del grupo Administradores del dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Ajustar las cuotas de la memoria para un proceso
  • Permitir el inicio de sesión local
  • Permitir inicio de sesión a través de Servicios de Escritorio remoto
  • Hacer copias de seguridad de archivos y directorios
  • Omitir comprobación de recorrido
  • Cambiar la hora del sistema
  • Cambiar la zona horaria
  • Crear un archivo de paginación
  • Crear objetos globales
  • Crear vínculos simbólicos
  • Programas de depuración
  • Habilitar confianza con las cuentas de usuario y de equipo para delegación
  • Forzar cierre desde un sistema remoto
  • Suplantar un cliente después de autenticación
  • Aumentar el espacio de trabajo de un proceso
  • Aumentar prioridad de programación
  • Cargar y descargar controladores de dispositivo
  • Iniciar sesión como proceso por lotes
  • Administrar la auditoría y el registro de seguridad
  • Modificar valores de entorno firmware
  • Realizar tareas de mantenimiento del volumen
  • Analizar un solo proceso
  • Analizar el rendimiento del sistema
  • Quitar equipo de la estación de acoplamiento
  • Restaurar archivos y directorios
  • Apagar el sistema
  • Tomar posesión de archivos y otros objetos

Equipos del dominio

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Todas las estaciones de trabajo y los servidores que están unidos al dominio son miembros de este grupo de forma predeterminada.
• Derechos de usuario directo predeterminado: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Controladores de dominio

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Todos los controladores de dominio del dominio. Nota: los controladores de dominio no son miembros del grupo de equipos del dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Invitados del dominio

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Todos los invitados del dominio
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios de dominio

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Todos los usuarios del dominio
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Administradores de empresas

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad universal
• Descripción y derechos de usuario predeterminados: Los administradores de empresa tienen permisos para cambiar la configuración de todo el bosque; Los administradores de empresa son miembros del grupo Administradores de cada dominio y reciben derechos y permisos concedidos a ese grupo.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Ajustar las cuotas de la memoria para un proceso
  • Permitir el inicio de sesión local
  • Permitir inicio de sesión a través de Servicios de Escritorio remoto
  • Hacer copias de seguridad de archivos y directorios
  • Omitir comprobación de recorrido
  • Cambiar la hora del sistema
  • Cambiar la zona horaria
  • Crear un archivo de paginación
  • Crear objetos globales
  • Crear vínculos simbólicos
  • Programas de depuración
  • Habilitar confianza con las cuentas de usuario y de equipo para delegación
  • Forzar cierre desde un sistema remoto
  • Suplantar un cliente después de autenticación
  • Aumentar el espacio de trabajo de un proceso
  • Aumentar prioridad de programación
  • Cargar y descargar controladores de dispositivo
  • Iniciar sesión como proceso por lotes
  • Administrar la auditoría y el registro de seguridad
  • Modificar valores de entorno firmware
  • Realizar tareas de mantenimiento del volumen
  • Analizar un solo proceso
  • Analizar el rendimiento del sistema
  • Quitar equipo de la estación de acoplamiento
  • Restaurar archivos y directorios
  • Apagar el sistema
  • Tomar posesión de archivos y otros objetos
• Notas: solo existe en el dominio raíz del bosque.

Controladores de dominio empresariales de solo lectura

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad universal
• Descripción y derechos de usuario predeterminados: Este grupo contiene las cuentas de todos los controladores de dominio de solo lectura del bosque.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Lectores del registro de eventos

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo en pueden leer los registros de eventos en controladores de dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Propietarios del creador de directivas de grupo

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden crear y modificar objetos de directiva de grupo en el dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Invitado

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, No un grupo
• Descripción y derechos de usuario predeterminados: Esta es la única cuenta de un dominio de AD DS que no tiene agregado el SID de usuarios autenticados a su token de acceso. Por lo tanto, cualquiera de los recursos configurados para conceder acceso al grupo de Usuarios autenticados no serán accesibles en esta cuenta. Este comportamiento no se aplica a los miembros de los grupos Invitados e Invitados del dominio. No obstante, los miembros de esos grupos tienen agregado el SID de usuarios autenticados a sus tokens de acceso.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Invitados

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los invitados tienen el mismo acceso que los miembros del grupo Usuarios de forma predeterminada, excepto para la cuenta de invitado, que se restringe aún más, como se ha descrito anteriormente.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Administradores de Hyper-V

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo tienen acceso completo y sin restricciones a todas las características de Hyper-V.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: Windows Server 2012 y versiones posteriores.

IIS_IUSRS

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Grupo integrado usado por Internet Information Services.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Creadores de confianza de bosque de entrada

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden crear confianzas entrantes y unidireccionales en este bosque. (La creación de confianzas de bosque saliente está reservada para administradores de empresa). Los miembros de este grupo pueden crear confianzas entrantes que permitan la delegación de TGT, lo que puede dar lugar a un riesgo en el bosque. Para obtener más información acerca de la delegación de TGT en la confianza entrante, Actualizaciones de la delegación de TGT en las confianzas entrantes en Windows Server.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: solo existe en el dominio raíz del bosque.

Krbtgt

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, No un grupo
• Descripción y derechos de usuario predeterminados: La cuenta Krbtgt es la cuenta de servicio del Centro de distribución de claves Kerberos en el dominio. Esta cuenta tiene acceso a las credenciales de todas las cuentas almacenadas en Active Directory. Esta cuenta está deshabilitada de forma predeterminada y nunca se debe habilitar
• Derechos de usuario: No aplicable

Operadores de configuración de red

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: A los miembros de este grupo se les conceden privilegios que les permiten administrar la configuración de las características de red.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios del registro de rendimiento

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden programar el registro de contadores de rendimiento, habilitar proveedores de seguimiento y recopilar seguimientos de eventos localmente y a través del acceso remoto al equipo.
• Derechos de usuario directo:
  • Iniciar sesión como proceso por lotes
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios de Monitor de rendimiento

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden acceder a los datos del contador de rendimiento de forma local y remota.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Acceso compatible con versiones anteriores de Windows 2000

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Este grupo existe para la compatibilidad con versiones anteriores a Windows 2000 Server y proporciona la capacidad de que los miembros lean información de usuario y grupo en el dominio.
• Derechos de usuario directo:
  • Obtener acceso a este equipo desde la red
  • Omitir comprobación de recorrido
• Derechos de usuario heredados:
  • Agregar estaciones de trabajo al dominio
  • Aumentar el espacio de trabajo de un proceso

Operadores de impresión

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden administrar impresoras de dominio.
• Derechos de usuario directo:
  • Permitir el inicio de sesión local
  • Cargar y descargar controladores de dispositivo
  • Apagar el sistema
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Servidores RAS e IAS

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los servidores de este grupo pueden leer las propiedades de acceso remoto en las cuentas de usuario del dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Servidores de extremo RDS

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los servidores de este grupo ejecutan máquinas virtuales y hospedan sesiones en las que se ejecutan los programas remoteApp y los escritorios virtuales personales. Este grupo debe rellenarse en servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores host de sesión de Escritorio remoto y los servidores host de virtualización de Escritorio remoto que se usan en la implementación deben estar en este grupo.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: Windows Server 2012 y versiones posteriores.

Servidores de administración de RDS

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los servidores de este grupo pueden realizar acciones administrativas rutinarias en servidores que ejecutan Servicios de Escritorio remoto. Este grupo debe rellenarse en todos los servidores de una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio de administración central de RDS deben incluirse en este grupo.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: Windows Server 2012 y versiones posteriores.

Servidores de acceso remoto de RDS

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los servidores de este grupo permiten a los usuarios de programas remoteApp y escritorios virtuales personales acceder a estos recursos. En las implementaciones accesibles desde Internet, estos servidores normalmente se implementan en una red perimetral. Este grupo debe rellenarse en servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores de puerta de enlace de Escritorio remoto y los servidores de Acceso web de Escritorio remoto usados en la implementación deben estar en este grupo.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: Windows Server 2012 y versiones posteriores.

Controladores de dominio de solo lectura

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad global
• Descripción y derechos de usuario predeterminados: Este grupo contiene todos los controladores de dominio de solo lectura del dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios de escritorio remoto

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: A los miembros de este grupo se les concede el derecho de iniciar sesión de forma remota mediante RDP.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios de Administración remota

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de administración (como WS-Management a través del servicio administración remota de Windows). Esto solo se aplica a los espacios de nombres WMI que conceden acceso al usuario.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: Windows Server 2012 y versiones posteriores.

Duplicadores

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Admite la replicación de archivos heredada en un dominio.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Administradores de esquema

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad universal
• Descripción y derechos de usuario predeterminados: Los administradores de esquema son los únicos usuarios que pueden realizar modificaciones en el esquema de Active Directory y solo si el esquema está habilitado para escritura.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: solo existe en el dominio raíz del bosque.

Operadores de servidores

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden administrar controladores de dominio.
• Derechos de usuario directo:
  • Permitir el inicio de sesión local
  • Hacer copias de seguridad de archivos y directorios
  • Cambiar la hora del sistema
  • Cambiar la zona horaria
  • Forzar cierre desde un sistema remoto
  • Restaurar archivos y directorios
  • Apagar el sistema
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Servidores de licencias de Terminal Server

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden actualizar las cuentas de usuario en Active Directory con información sobre la emisión de licencias, con el fin de realizar un seguimiento y notificar el uso de TS por cal de usuario.
• Derechos de usuario directo predeterminado: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

Usuarios

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los usuarios tienen permisos que les permiten leer muchos objetos y atributos en Active Directory, aunque no pueden cambiar la mayoría. Se impide que los usuarios realicen cambios accidentales o intencionados en todo el sistema y puedan ejecutar la mayoría de las aplicaciones.
• Derechos de usuario directo:
  • Aumentar el espacio de trabajo de un proceso
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido

Grupo de acceso de autorización de Windows

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor integrado, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal calculado en objetos User
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso

WinRMRemoteWMIUsers_

• Contenedor predeterminado, ámbito de grupo y tipo: Contenedor de usuarios, grupo de seguridad local de dominio
• Descripción y derechos de usuario predeterminados: Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de administración (como WS-Management a través del servicio administración remota de Windows). Esto solo se aplica a los espacios de nombres WMI que conceden acceso al usuario.
• Derechos de usuario directo: Ninguno
• Derechos de usuario heredados:
  • Obtener acceso a este equipo desde la red
  • Agregar estaciones de trabajo al dominio
  • Omitir comprobación de recorrido
  • Aumentar el espacio de trabajo de un proceso
• Notas: Windows Server 2012 y versiones posteriores.