Groupes de sécurité Active Directory
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Découvrez les groupes de sécurité, l’étendue de groupe et les fonctions de groupe Active Directory par défaut.
Qu’est-ce qu’un groupe de sécurité dans Active Directory ?
Active Directory a deux formes de principaux de sécurité courants : les comptes d’utilisateur et les comptes d’ordinateur. Ces comptes représentent une entité physique qui est une personne ou un ordinateur. Un compte d’utilisateur peut également être utilisé comme compte de service dédié pour certaines applications.
Les groupes de sécurité sont un moyen de rassembler des comptes d’utilisateur, des comptes d’ordinateur et d’autres groupes dans des unités gérables.
Dans le système d’exploitation Windows Server, plusieurs comptes et groupes de sécurité intégrés sont préconfigurés avec les droits et autorisations appropriés pour effectuer des tâches spécifiques. Dans Active Directory, les responsabilités administratives sont séparées et accordées à deux types d’administrateurs :
Administrateurs de service : ils sont responsables de la maintenance et de la distribution des services de domaine Active Directory (AD DS), notamment de la gestion des contrôleurs de domaine et de la configuration d’AD DS.
Administrateurs de données : ils sont responsables de la maintenance des données stockées dans AD DS et sur les serveurs et stations de travail membres du domaine.
Fonctionnement des groupes de sécurité Active Directory
Utilisez des groupes pour rassembler des comptes d’utilisateur, des comptes d’ordinateur et d’autres groupes dans des unités gérables. Travailler avec des groupes plutôt qu’avec des utilisateurs individuels vous permet de simplifier la maintenance et l’administration du réseau.
Active Directory a deux types de groupes :
Groupes de sécurité : utilisez-les pour affecter des autorisations à des ressources partagées.
Groupes de distribution : utilisez-les pour créer des listes de distribution d’e-mails.
Groupes de sécurité
Les groupes de sécurité peuvent constituer un moyen efficace d’autoriser l’accès aux ressources de votre réseau. Grâce aux groupes de sécurité, vous pouvez :
Attribuer des droits de l’utilisateur à des groupes de sécurité dans AD DS.
Attribuer des droits de l’utilisateur à un groupe de sécurité pour déterminer ce que peuvent faire les membres de ce groupe au sein de l’étendue d’un domaine ou d’une forêt. Des droits de l’utilisateur sont attribués automatiquement à certains groupes de sécurité lorsqu’Active Directory est installé, afin d’aider les administrateurs à définir le rôle administratif d’une personne dans un domaine.
Par exemple, un utilisateur que vous ajoutez au groupe Opérateurs de sauvegarde dans Active Directory peut sauvegarder et restaurer des fichiers et des répertoires situés sur chaque contrôleur de domaine du domaine. L’utilisateur peut effectuer ces actions car, par défaut, les droits de l’utilisateur Sauvegarder les fichiers et les répertoires et Restaurer les fichiers et les répertoires sont attribués automatiquement au groupe Opérateurs de sauvegarde. Par conséquent, les membres de ce groupe héritent des droits de l’utilisateur qui sont attribués à ce groupe.
Vous pouvez utiliser Stratégie de groupe pour attribuer des droits de l’utilisateur à des groupes de sécurité afin de déléguer des tâches spécifiques. Pour plus d’informations sur l’utilisation de Stratégie de groupe, consultez Attribution de droits de l’utilisateur.
Attribuer des autorisations à des groupes de sécurité pour des ressources.
Les autorisations sont différentes des droits d’utilisateurs. Les autorisations sont attribuées à un groupe de sécurité pour une ressource partagée. Les autorisations déterminent qui peut accéder à la ressource ainsi que le niveau d’accès, par exemple Contrôle total ou Lecture. Certaines autorisations définies sur des objets de domaine sont attribuées automatiquement afin d’accorder divers niveaux d’accès aux groupes de sécurité par défaut, tels que les groupes Opérateurs de compte ou Admins du domaine.
Les groupes de sécurité figurent dans des listes de contrôle d’accès discrétionnaire (DACL) qui définissent des autorisations sur les ressources et les objets. Lorsque les administrateurs attribuent des autorisations pour des ressources telles que des partages de fichiers ou des imprimantes, ils doivent attribuer ces autorisations à un groupe de sécurité plutôt qu’à des utilisateurs individuels. Les autorisations sont attribuées une seule fois au groupe, plutôt que plusieurs fois à chaque utilisateur individuel. Chaque compte ajouté à un groupe reçoit les droits qui sont attribués à ce groupe dans Active Directory. L’utilisateur reçoit des autorisations qui sont définies pour ce groupe.
Vous pouvez utiliser un groupe de sécurité en tant qu’entité d’e-mail. L’envoi d’un e-mail à un groupe de sécurité entraîne l’envoi du message à tous les membres du groupe.
Groupes de distribution
Vous pouvez utiliser des groupes de distribution uniquement pour envoyer des e-mails à des collections d’utilisateurs à l’aide d’une application d’e-mail telle qu’Exchange Server. Les groupes de distribution ne sont pas activés pour la sécurité. Vous ne pouvez donc pas les inclure dans des listes DACL.
Étendue du groupe
Chaque groupe a une étendue qui identifie le degré d’application du groupe dans la forêt ou l’arborescence de domaine. L’étendue d’un groupe définit où, dans le réseau, les autorisations peuvent être accordées pour le groupe. Active Directory définit les trois étendues de groupe suivantes :
Universal
Global
Domaine local
Notes
En plus de ces trois étendues, les groupes par défaut dans le conteneur Builtin ont une étendue de groupe Builtin Local. Cette étendue de groupe et ce type de groupe ne peuvent pas être modifiés.
Le tableau suivant décrit les trois étendues de groupe et leur fonctionnement en tant que groupes de sécurité :
| Étendue | Membres possibles | Conversion d’étendue | Peut accorder des autorisations | Membre possible de |
|---|---|---|---|---|
| Universal | Comptes de n’importe quel domaine dans la même forêt Groupes globaux de n’importe quel domaine dans la même forêt Autres groupes Universel de n’importe quel domaine dans la même forêt |
Peut être convertie en étendue Domaine local si le groupe n’est membre d’aucun autre groupe Universel Peut être convertie en étendue Global si le groupe ne contient aucun autre groupe Universel |
Sur n’importe quel domaine de la même forêt ou de forêts autorisées à approuver | Autres groupes Universel dans la même forêt Groupes Domaine local dans la même forêt ou des forêts autorisées à approuver Groupes locaux sur les ordinateurs dans la même forêt ou des forêts autorisées à approuver |
| Global | Comptes du même domaine Autres groupes Global du même domaine |
Peut être convertie en étendue Universel si le groupe n’est membre d’aucun autre groupe Global | Sur n’importe quel domaine de la même forêt, ou forêts ou domaines autorisés à approuver | Groupes Universel de n’importe quel domaine dans la même forêt Autres groupes Global du même domaine Groupes Domaine local de n’importe quel domaine dans la même forêt ou de n’importe quel domaine autorisé à approuver |
| Domaine local | Comptes de n’importe quel domaine ou domaine autorisé à approuver Groupes Global de n’importe quel domaine ou domaine autorisé à approuver Groupes Universel de n’importe quel domaine dans la même forêt Autres groupes Domaine local du même domaine Comptes, groupes Global et groupes Universel d’autres forêts et de domaines externes |
Peut être convertie en étendue Universel si le groupe ne contient aucun autre groupe Domaine local | Dans le même domaine | Autres groupes Domaine local du même domaine Groupes locaux sur les ordinateurs du même domaine, à l’exclusion des groupes intégrés qui ont des identificateurs de sécurité (SID) connus |
Groupes d’identités spéciales
Les identités spéciales sont appelées « groupes ». Les groupes d’identités spéciales n’ont pas d’appartenances spécifiques que vous pouvez modifier, mais ils peuvent représenter différents utilisateurs à différents moments en fonction des circonstances. Parmi ces groupes figurent Créateur propriétaire, Lot et Utilisateur authentifié.
Pour plus d’informations, consultez Groupes d’identités spéciales.
Groupes de sécurité par défaut
Les groupes par défaut tels que le groupe Admins du domaine sont des groupes de sécurité créés automatiquement lorsque vous créez un domaine Active Directory. Vous pouvez utiliser ces groupes prédéfinis pour contrôler l'accès aux ressources partagées et pour déléguer les rôles administratifs spécifiques dans l'ensemble du domaine.
Un jeu de droits de l’utilisateur qui autorise les membres d’un groupe à effectuer des actions spécifiques dans un domaine, par exemple se connecter à un système local ou sauvegarder des dossiers et des fichiers, est attribué automatiquement à de nombreux groupes par défaut. Par exemple, un membre du groupe Opérateurs de sauvegarde peut effectuer des opérations de sauvegarde pour tous les contrôleurs de domaine du domaine.
Lorsque vous ajoutez un utilisateur à un groupe, cet utilisateur reçoit tous les droits de l’utilisateur attribués au groupe, y compris toutes les autorisations attribuées au groupe pour les éventuelles ressources partagées.
Les groupes par défaut se trouvent dans le conteneur Builtin et dans le conteneur Users dans Utilisateurs et ordinateurs Active Directory. Le conteneur Builtin inclut des groupes qui sont définis avec l’étendue Domaine local. Le conteneur Users inclut des groupes définis avec une étendue Global et des groupes définis avec une étendue Domaine local. Vous pouvez déplacer les groupes figurant dans ces conteneurs vers d’autres groupes ou unités d’organisation au sein du domaine, mais vous ne pouvez pas les déplacer vers d’autres domaines.
Certains des groupes d’administration listés dans cet article et tous les membres de ces groupes sont protégés par un processus en arrière-plan qui recherche et applique régulièrement un descripteur de sécurité spécifique. Ce descripteur est une structure de données qui contient les informations de sécurité associées à un objet protégé. Ce processus garantit que toute tentative non autorisée et réussie de modification du descripteur de sécurité sur l’un des comptes d’administration ou groupes est remplacée par les paramètres protégés.
Le descripteur de sécurité est présent sur l’objet AdminSDHolder. Si vous souhaitez modifier les autorisations sur l’un des groupes d’administrateurs de service ou sur l’un de ses comptes membres, vous devez modifier le descripteur de sécurité sur l’objet AdminSDHolder afin qu’il soit appliqué de manière cohérente. Soyez prudent lorsque vous apportez ces modifications, car vous modifiez également les paramètres par défaut appliqués à tous vos comptes d’administration protégés.
Groupes de sécurité Active Directory par défaut
La liste suivante fournit des descriptions des groupes par défaut qui se trouvent dans les conteneurs Builtin et Users dans Active Directory :
- Opérateurs d’assistance de contrôle d’accès
- Opérateurs de compte
- Administrateurs
- Groupe de réplication dont le mot de passe RODC est autorisé
- Opérateurs de sauvegarde
- Accès DCOM au service de certificats
- Éditeurs de certificats
- Contrôleurs de domaine clonables
- Opérateurs de chiffrement
- Groupe de réplication dont le mot de passe RODC est refusé
- Propriétaires d’appareils
- Administrateurs DHCP
- Utilisateurs DHCP
- Utilisateurs du modèle COM distribué
- DnsUpdateProxy
- DnsAdmins
- Administrateurs du domaine
- Ordinateurs du domaine
- Contrôleurs de domaine
- Invités du domaine
- Utilisateurs du domaine
- Administrateurs de l’entreprise
- Enterprise Key Admins
- Contrôleurs de domaine d’entreprise en lecture seule
- Lecteurs des journaux d’événements
- Propriétaires créateurs de la stratégie de groupe
- Invités
- Administrateurs Hyper-V
- IIS_IUSRS
- Générateurs d’approbation de forêt entrante
- Administrateurs de clés
- Opérateurs de configuration réseau
- Utilisateurs du journal des performances
- Utilisateurs de l’Analyseur de performances
- Accès compatible pré-Windows 2000
- Opérateurs d'impression
- Utilisateurs protégés
- Serveurs RAS et IAS
- Serveurs de points de terminaison...
- Serveurs Gestion RDS
- Serveurs Accès Distant RDS
- Contrôleurs de domaine en lecture seule
- Utilisateurs du Bureau à distance
- Utilisateurs de gestion à distance
- Duplicateur
- Administrateurs du schéma
- Opérateurs de serveur
- Administrateurs de réplica de stockage
- System Managed Accounts
- Serveurs de licences des services Terminal Server
- Utilisateurs
- Groupe d’accès d’autorisation Windows
- WinRMRemoteWMIUsers_
Opérateurs d’assistance de contrôle d’accès
Les membres de ce groupe peuvent interroger à distance les attributs d’autorisation et les autorisations pour les ressources sur l’ordinateur.
Le groupe Opérateurs d’assistance de contrôle d’accès s’applique au système d’exploitation Windows Server indiqué dans le tableau Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-579 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Opérateurs de compte
Le groupe Opérateurs de compte accorde des privilèges de création de compte limités à un utilisateur. Les membres de ce groupe peuvent créer et modifier la plupart des types de comptes, y compris les comptes pour les utilisateurs, les groupes Local et les groupes Global. Les membres du groupe peuvent se connecter localement aux contrôleurs de domaine.
Les membres du groupe Opérateurs de compte ne peuvent pas gérer le compte d’utilisateur Administrateur, les comptes d’utilisateur des administrateurs ou les groupes Administrateurs, Opérateurs de serveur, Opérateurs de compte, Opérateurs de sauvegarde ou Opérateurs d’impression. Les membres de ce groupe ne peuvent pas modifier les droits de l’utilisateur.
Le groupe Opérateurs de compte s’applique au système d’exploitation Windows Server indiqué dans la liste Groupes de sécurité Active Directory par défaut.
Notes
Par défaut, ce groupe intégré n’a aucun membre. Le groupe peut créer et gérer des utilisateurs et des groupes dans le domaine, y compris sa propre appartenance et celle du groupe Opérateurs de serveur. Ce groupe est considéré comme un groupe d’administrateurs de service, car il peut modifier les opérateurs de serveur, qui à leur tour peuvent modifier les paramètres du contrôleur de domaine. Il est recommandé de laisser l’appartenance à ce groupe vide et de ne pas l’utiliser pour une administration déléguée. Ce groupe ne peut pas être renommé ou supprimé.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-548 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Autoriser la connexion locale : SeInteractiveLogonRight |
Administrateurs
Les membres du groupe Administrateurs ont un accès total et sans restriction à l’ordinateur. Si l’ordinateur est promu contrôleur de domaine, les membres du groupe Administrateurs disposent d’un accès sans restriction au domaine.
Le groupe Administrateurs s’applique au système d’exploitation Windows Server indiqué dans la liste Groupes de sécurité Active Directory par défaut.
Notes
Le groupe Administrateurs dispose de fonctionnalités intégrées qui accordent à ses membres un contrôle total sur le système. Ce groupe ne peut pas être renommé ou supprimé. Ce groupe intégré contrôle l’accès à tous les contrôleurs de domaine de son domaine, et peut modifier l’appartenance à tous les groupes d’administration. Les membres des groupes suivants peuvent modifier l’appartenance au groupe Administrateurs : Administrateurs de service par défaut, Admins du domaine dans le domaine et Administrateurs de l’entreprise. Ce groupe a le privilège spécial de prendre possession de n’importe quel objet de l’annuaire ou de toute ressource sur un contrôleur de domaine. Ce compte est considéré comme un groupe d’administrateurs de service, car ses membres disposent d’un accès complet aux contrôleurs de domaine dans le domaine.
Ce groupe de sécurité inclut les modifications suivantes à compter de Windows Server 2008 :
Modifications des droits de l’utilisateur par défaut : Autoriser l’ouverture de session par les services Terminal Server existait dans Windows Server 2008, et il a été remplacé par Autoriser l’ouverture de session par les services Bureau à distance.
Retirer l’ordinateur de la station d’accueil a été supprimé dans Windows Server 2012 R2.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-544 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | Administrateur, Admins du domaine, Administrateurs de l’entreprise |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Changer les quotas de mémoire d’un processus : (SeIncreaseQuotaPrivilege) Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight Autoriser la connexion localement : SeInteractiveLogonRight Autoriser l’ouverture de session par les services Bureau à distance : SeRemoteInteractiveLogonRight Sauvegarder les fichiers et les répertoires : SeBackupPrivilege Ignorer la vérification transversale : (SeChangeNotifyPrivilege) Modifier l’heure système : SeSystemTimePrivilege Modifier le fuseau horaire : SeTimeZonePrivilege Créer un fichier d’échange : SeCreatePagefilePrivilege Créer des objets globaux : SeCreateGlobalPrivilege Créer des liens symboliques : SeCreateSymbolicLinkPrivilege Déboguer des programmes : SeDebugPrivilege Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation : SeEnableDelegationPrivilege Forcer l’arrêt à partir d’un système distant : SeRemoteShutdownPrivilege Emprunter l’identité d’un client après authentification : (SeImpersonatePrivilege) Augmenter la priorité de planification : (SeIncreaseBasePriorityPrivilege) Charger et décharger les pilotes de périphériques : SeLoadDriverPrivilege Ouvrir une session en tant que tâche : SeBatchLogonRight Gérer le journal d’audit et de sécurité : SeSecurityPrivilege Modifier les valeurs d’environnement du microprogramme : SeSystemEnvironmentPrivilege Effectuer des tâches de maintenance en volume : SeManageVolumePrivilege Performance système du profil : SeSystemProfilePrivilege Processus unique du profil : SeProfileSingleProcessPrivilege Retirer l’ordinateur de la station d’accueil : SeUndockPrivilege Restaurer les fichiers et les répertoires : SeRestorePrivilege Arrêter le système : SeShutdownPrivilege Prendre possession de fichiers ou d’autres objets : SeTakeOwnershipPrivilege |
Groupe de réplication dont le mot de passe RODC est autorisé
L’objectif de ce groupe de sécurité est de gérer une stratégie de réplication de mot de passe de contrôleur de domaine en lecture seule (RODC). Ce groupe n’a aucun membre par défaut, et il a comme conséquence que les nouveaux contrôleurs de domaine ne mettent pas en cache les informations d’identification utilisateur. Le Groupe de réplication dont le mot de passe RODC est refusé contient différents groupes de sécurité et comptes à privilèges élevés. Le Groupe de réplication dont le mot de passe RODC est refusé l’emporte sur le Groupe de réplication dont le mot de passe RODC est autorisé.
Le Groupe de réplication dont le mot de passe RODC est autorisé s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-571 |
| Type | Domaine local |
| Conteneur par défaut | CN=Users DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Opérateurs de sauvegarde
Les membres du groupe Opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers sur un ordinateur, quelles que soient les autorisations qui protègent ces fichiers. Les Opérateurs de sauvegarde peuvent également se connecter à l’ordinateur et l’arrêter. Ce groupe ne peut pas être renommé ou supprimé. Par défaut, ce groupe intégré n’a aucun membre, et il peut effectuer des opérations de sauvegarde et de restauration sur les contrôleurs de domaine. Les membres des groupes suivants peuvent modifier l’appartenance au groupe Opérateurs de sauvegarde : Administrateurs de service par défaut, Admins du domaine dans le domaine et Administrateurs de l’entreprise. Les membres du groupe Opérateurs de sauvegarde ne peuvent pas modifier l’appartenance à des groupes d’administration. Bien que les membres de ce groupe ne puissent pas modifier les paramètres de serveur ou la configuration de l’annuaire, ils disposent des autorisations nécessaires pour remplacer les fichiers (y compris les fichiers de système d’exploitation) sur les contrôleurs de domaine. Étant donné que les membres de ce groupe peuvent remplacer des fichiers sur des contrôleurs de domaine, ils sont considérés comme des administrateurs de service.
Le groupe Opérateurs de sauvegarde s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-551 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Autoriser la connexion localement : SeInteractiveLogonRight Sauvegarder les fichiers et les répertoires : SeBackupPrivilege Ouvrir une session en tant que tâche : SeBatchLogonRight Restaurer les fichiers et les répertoires : SeRestorePrivilege Arrêter le système : SeShutdownPrivilege |
Accès DCOM au service de certificats
Les membres de ce groupe peuvent se connecter aux autorités de certification de l’entreprise.
Le groupe Accès DCOM service de certificats s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-<domaine>-574 |
| Type | Domaine local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Éditeurs de certificats
Les membres du groupe Éditeurs de certificats sont autorisés à publier des certificats pour les objets Utilisateur dans Active Directory.
Le groupe Éditeurs de certificats s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-517 |
| Type | Domaine local |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | Groupe de réplication dont le mot de passe RODC est refusé |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Contrôleurs de domaine clonables
Les membres du groupe Contrôleurs de domaine clonables qui sont des contrôleurs de domaine peuvent être clonés. Dans Windows Server 2012 R2 et Windows Server 2012, vous pouvez déployer des contrôleurs de domaine en copiant un contrôleur de domaine virtuel existant. Dans un environnement virtuel, vous n’avez plus besoin de déployer à plusieurs reprises une image de serveur préparée à l’aide de Sysprep.exe, de promouvoir le serveur en contrôleur de domaine, puis de satisfaire d’autres exigences de configuration pour le déploiement de chaque contrôleur de domaine (y compris l’ajout du contrôleur de domaine virtuel à ce groupe de sécurité).
Pour plus d'informations, voir Présentation de la virtualisation des services de domaine Active Directory (AD DS) (niveau 100).
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-522 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Opérateurs de chiffrement
Les membres de ce groupe sont autorisés à réaliser des opérations de chiffrement. Ce groupe de sécurité a été ajouté dans Windows Vista Service Pack 1 (SP1) pour configurer le Pare-feu Windows pour IPsec en mode Critères communs.
Le groupe Opérateurs de chiffrement s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
Ce groupe de sécurité a été introduit dans Windows Vista SP1, et il n’a pas changé dans les versions suivantes.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-569 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Groupe de réplication dont le mot de passe RODC est refusé
Les mots de passe des membres du Groupe de réplication dont le mot de passe RODC est refusé ne peuvent pas être répliqués sur un contrôleur de domaine.
L’objectif de ce groupe de sécurité est de gérer une stratégie de réplication de mot de passe RODC. Ce groupe contient différents groupes de sécurité et comptes à privilèges élevés. Le Groupe de réplication dont le mot de passe RODC est refusé l’emporte sur le Groupe de réplication dont le mot de passe RODC est autorisé.
Ce groupe de sécurité inclut les modifications suivantes à compter de Windows Server 2008 :
- Dans Windows Server 2012, les membres par défaut ont été changés de façon à inclure Éditeurs de certificats.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-572 |
| Type | Domaine local |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Éditeurs de certificats Administrateurs de l’entreprise Propriétaires créateurs de la stratégie de groupe |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Propriétaires d’appareils
Lorsque le groupe Propriétaires d’appareils n’a aucun membre, nous vous recommandons de ne pas modifier la configuration par défaut de ce groupe de sécurité. La modification de la configuration par défaut peut entraver les scénarios ultérieurs qui s’appuient sur ce groupe. Le groupe Propriétaires d’appareils n’est actuellement pas utilisé dans Windows.
Le groupe Propriétaires d’appareils s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-583 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Vous pouvez déplacer le groupe, mais nous vous le déconseillons |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Autoriser la connexion localement : SeInteractiveLogonRight Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight Ignorer la vérification transversale : (SeChangeNotifyPrivilege) Modifier le fuseau horaire : SeTimeZonePrivilege |
Administrateurs DHCP
Les membres du groupe Administrateurs DHCP peuvent créer, supprimer et gérer différentes zones de l’étendue du serveur, y compris les droits de sauvegarde et de restauration de la base de données DHCP (Dynamic Host Configuration Protocol). Même si ce groupe dispose de droits d’administration, il ne fait pas partie du groupe Administrateurs car ce rôle est limité aux services DHCP.
Le groupe Administrateurs DHCP s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine> |
| Type | Domaine local |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | Utilisateurs |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Vous pouvez déplacer le groupe, mais nous vous le déconseillons |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Utilisateurs DHCP
Les membres du groupe Utilisateurs DHCP peuvent voir quelles étendues sont actives ou inactives, voir quelles adresses IP sont affectées, et afficher les problèmes de connectivité si le serveur DHCP n’est pas configuré correctement. Ce groupe est limité à l’accès en lecture seule au serveur DHCP.
Le groupe Utilisateurs DHCP s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine> |
| Type | Domaine local |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | Utilisateurs |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Vous pouvez déplacer le groupe, mais nous vous le déconseillons |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Utilisateurs du modèle COM distribué
Les membres du groupe Utilisateurs du modèle COM distribué peuvent lancer, activer et utiliser des objets COM distribués sur l’ordinateur. Le modèle COM (Component Object Model) Microsoft est un système distribué, orienté objet et indépendant de toute plateforme qui permet de créer des composants logiciels binaires capables d’interagir. Le modèle DCOM (Distributed Component Object Model) permet de distribuer les applications aux emplacements les plus pertinents pour vous et pour l’application. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (également appelé FSMO [flexible single master operations]).
Le groupe Utilisateurs du modèle COM distribué s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-562 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
DnsUpdateProxy
Les membres du groupe DnsUpdateProxy sont des clients DNS. Ils sont autorisés à effectuer des mises à jour dynamiques pour le compte d’autres clients, comme les serveurs DHCP. Un serveur DNS peut développer des enregistrements de ressources obsolètes lorsqu’un serveur DHCP est configuré de façon à inscrire dynamiquement des enregistrements de ressources d’hôte (A) et de pointeur (PTR) pour le compte de clients DHCP à l’aide d’une mise à jour dynamique. L’ajout de clients à ce groupe de sécurité atténue ce scénario.
Toutefois, pour vous protéger contre les enregistrements non sécurisés ou permettre aux membres du groupe DnsUpdateProxy d’inscrire des enregistrements dans des zones qui autorisent uniquement des mises à jour dynamiques sécurisées, vous devez créer un compte d’utilisateur dédié et configurer les serveurs DHCP de façon à effectuer des mises à jour dynamiques DNS à l’aide des informations d’identification (nom d’utilisateur, mot de passe et domaine) de ce compte. Plusieurs serveurs DHCP peuvent utiliser les informations d’identification d’un même compte d’utilisateur dédié. Ce groupe existe uniquement si le rôle serveur DNS est ou a déjà été installé sur un contrôleur de domaine dans le domaine.
Pour plus d’informations, consultez Propriété d’enregistrement DNS et le groupe DnsUpdateProxy.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-<variable RI> |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
DnsAdmins
Les membres du groupe DnsAdmins ont accès aux informations DNS du réseau. Les autorisations par défaut sont Autoriser : Lire, Écrire, Créer tous les objets enfants, Supprimer des objets enfants, Autorisations spéciales. Ce groupe existe uniquement si le rôle serveur DNS est ou a déjà été installé sur un contrôleur de domaine dans le domaine.
Pour plus d’informations sur la sécurité et DNS, consultez DNSSEC dans Windows Server 2012.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-<variable RI> |
| Type | Builtin Local |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Administrateurs du domaine
Les membres du groupe de sécurité Admins du domaine sont autorisés à administrer le domaine. Par défaut, le groupe Admins du domaine est membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine. Le groupe Admins du domaine est le propriétaire par défaut de tout objet créé dans Active Directory pour le domaine par n’importe quel membre du groupe. Si des membres du groupe créent d’autres objets, tels que des fichiers, le propriétaire par défaut est le groupe Administrateurs.
Le groupe Admins du domaine contrôle l’accès à tous les contrôleurs de domaine d’un domaine, et peut modifier l’appartenance de tous les comptes d’administration dans le domaine. Les membres des groupes d’administrateurs de service dans son domaine (Administrateurs et Admins du domaine) et les membres du groupe Administrateurs de l’entreprise peuvent modifier l’appartenance d’Admins du domaine. Ce groupe est considéré comme un compte d’administrateurs de service, car ses membres disposent d’un accès complet aux contrôleurs de domaine dans un domaine.
Le groupe Admins du domaine s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-512 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Administrateur |
| Membre par défaut de | Administrateurs |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Voir Administrateurs Voir Groupe de réplication dont le mot de passe RODC est refusé |
Ordinateurs du domaine
Ce groupe peut inclure tous les ordinateurs et serveurs qui ont rejoint le domaine, à l’exception des contrôleurs de domaine. Par défaut, tout compte d’ordinateur créé devient automatiquement membre de ce groupe.
Le groupe Ordinateurs du domaine s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-515 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Tous les ordinateurs joints au domaine, à l’exclusion des contrôleurs de domaine |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui (mais pas obligatoire) |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Oui |
| Droits d’utilisateur par défaut | None |
Contrôleurs de domaine
Le groupe Contrôleurs de domaine peut inclure tous les contrôleurs de domaine du domaine. Les nouveaux contrôleurs de domaine sont automatiquement ajoutés à ce groupe.
Le groupe Contrôleurs de domaine s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-516 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Comptes d’ordinateur pour tous les contrôleurs de domaine du domaine |
| Membre par défaut de | Groupe de réplication dont le mot de passe RODC est refusé |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Non |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Invités du domaine
Le groupe Invités du domaine inclut le compte Invité intégré du domaine. Lorsque des membres de ce groupe se connectent en tant qu’invités locaux sur un ordinateur joint à un domaine, un profil de domaine est créé sur l’ordinateur local.
Le groupe Invités du domaine s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-514 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Invité |
| Membre par défaut de | Invités |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Vous pouvez déplacer le groupe, mais nous vous le déconseillons |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Voir Invités |
Utilisateurs du domaine
Le groupe Utilisateurs du domaine inclut tous les comptes d’utilisateur d’un domaine. Lorsque vous créez un compte d’utilisateur dans un domaine, il est automatiquement ajouté à ce groupe.
Par défaut, tout compte d’utilisateur créé dans le domaine devient automatiquement membre de ce groupe. Vous pouvez utiliser ce groupe pour représenter tous les utilisateurs dans le domaine. Par exemple, si vous souhaitez que tous les utilisateurs du domaine aient accès à une imprimante, vous pouvez attribuer des autorisations pour l’imprimante à ce groupe ou ajouter le groupe Utilisateurs du domaine à un groupe Local sur le serveur d’impression qui dispose d’autorisations pour l’imprimante.
Le groupe Utilisateurs du domaine s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-513 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Administrateur |
| krbtgt | |
| Membre par défaut de | Utilisateurs |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Voir Utilisateurs |
Administrateurs de l’entreprise
Le groupe Administrateurs de l’entreprise existe uniquement dans le domaine racine d’une forêt de domaines Active Directory. Ce groupe est un groupe Universel si le domaine est en mode natif. Le groupe est un groupe Global si le domaine est en mode mixte. Les membres de ce groupe sont autorisés à apporter des modifications à l’échelle de la forêt dans Active Directory, comme l’ajout de domaines enfants.
Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de la forêt. Ce groupe est automatiquement ajouté au groupe Administrateurs dans chaque domaine de la forêt, et fournit un accès complet à la configuration de tous les contrôleurs de domaine. Les membres de ce groupe peuvent modifier l’appartenance à tous les groupes d’administration. Les membres des groupes d’administrateurs de service par défaut dans le domaine racine peuvent modifier l’appartenance du groupe Administrateurs de l’entreprise. Ce groupe est considéré comme un compte d’administrateur de service.
Le groupe Administrateurs de l’entreprise s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine racine>-519 |
| Type | Universel si le domaine est en mode natif ; sinon, Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Administrateur |
| Membre par défaut de | Administrateurs |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Voir Administrateurs Voir Groupe de réplication dont le mot de passe RODC est refusé |
Enterprise Key Admins
Les membres de ce groupe peuvent effectuer des actions administratives sur des objets clés au sein de la forêt.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-527 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Contrôleurs de domaine d’entreprise en lecture seule
Les membres de ce groupe sont des contrôleurs de domaine en lecture seule (RODC) dans l’entreprise. À l’exception des mots de passe de compte, un RODC contient tous les objets et attributs Active Directory qu’un contrôleur de domaine accessible en écriture contient. Toutefois, aucune modification ne peut être apportée à la base de données stockée sur le RODC. Les modifications doivent être effectuées sur un contrôleur de domaine accessible en écriture, puis répliquées sur le RODC.
Les RODC permettent de résoudre certains des problèmes couramment rencontrés dans les succursales. Ces emplacements peuvent ne pas avoir de contrôleur de domaine, ou ils peuvent avoir un contrôleur de domaine accessible en écriture, mais pas la sécurité physique, la bande passante réseau ou l’expertise locale pour le prendre en charge.
Pour plus d’informations, consultez Qu’est-ce qu’un contrôleur de domaine en lecture seule ?
Le groupe Contrôleurs de domaine d’entreprise en lecture seule s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine racine>-498 |
| Type | Universal |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Lecteurs des journaux d’événements
Les membres de ce groupe peuvent lire les journaux d’événements à partir d’ordinateurs locaux. Le groupe est créé lorsque le serveur est promu en contrôleur de domaine.
Le groupe Lecteurs des journaux d’événements s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-573 |
| Type | Domaine local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Propriétaires créateurs de la stratégie de groupe
Ce groupe est autorisé à créer, à modifier et à supprimer des objets de stratégie de groupe dans le domaine. Par défaut, le seul membre du groupe est Administrateur.
Pour plus d’informations sur les autres fonctionnalités que vous pouvez utiliser avec ce groupe de sécurité, consultez Vue d’ensemble de la stratégie de groupe.
Le groupe Propriétaires créateurs de la stratégie de groupe s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-520 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Administrateur |
| Membre par défaut de | Groupe de réplication dont le mot de passe RODC est refusé |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Non |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Voir Groupe de réplication dont le mot de passe RODC est refusé |
Invités
Les membres du groupe Invités ont le même accès que les membres du groupe Utilisateurs par défaut, sauf que le compte Invité a d’autres restrictions. Par défaut, le seul membre est le compte Invité. Le groupe Invités permet aux utilisateurs occasionnels ou ponctuels de se connecter avec des privilèges limités au compte Invité intégré d’un ordinateur.
Lorsqu’un membre du groupe Invités se déconnecte, le profil entier est supprimé. La suppression du profil inclut tout ce qui est stocké dans le répertoire %userprofile%, y compris les informations de ruche du Registre de l’utilisateur, les icônes de bureau personnalisées et d’autres paramètres propres à l’utilisateur. Ce fait implique qu’un invité doit utiliser un profil temporaire pour se connecter au système. Ce groupe de sécurité interagit avec le paramètre de stratégie de groupe. Lorsque ce groupe de sécurité est activé, ne connectez pas les utilisateurs qui ont des profils temporaires. Pour accéder à ce paramètre, accédez à Configuration de l’ordinateur>Modèles d’administration>Système>Profils utilisateur.
Notes
Un compte Invité est un membre par défaut du groupe de sécurité Invités. Les personnes qui n’ont pas un compte réel dans le domaine peuvent utiliser le compte Invité. Un utilisateur dont le compte est désactivé (mais pas supprimé) peut également se servir du compte Invité. Le compte Invité ne demande pas de mot de passe. Vous définissez des droits et des autorisations pour le compte Invité comme pour tout autre compte d’utilisateur. Par défaut, ce compte fait partie du groupe Invités intégré et du groupe Global Invités du domaine, ce qui permet à un utilisateur de se connecter à un domaine. Par défaut, le compte Invité est désactivé et il est conseillé de ne pas l’activer.
Le groupe Invités s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-546 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | Invités du domaine |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Administrateurs Hyper-V
Les membres du groupe Administrateurs Hyper-V disposent d’un accès complet et sans restriction à toutes les fonctionnalités d’Hyper-V. L’ajout de membres à ce groupe permet de réduire le nombre de membres requis dans le groupe Administrateurs, et de séparer davantage l’accès.
Notes
Avant Windows Server 2012, l’accès aux fonctionnalités dans Hyper-V était contrôlé en partie par l’appartenance au groupe Administrateurs.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-578 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
IIS_IUSRS
IIS_IUSRS est un groupe intégré utilisé par les services Internet (IIS) à partir d’IIS 7. Un compte et un groupe intégrés sont garantis par le système d’exploitation comme ayant toujours un SID unique. IIS 7 remplace le compte IUSR_MachineName et le groupe IIS_WPG par le groupe IIS_IUSRS pour s’assurer que les noms réellement utilisés par le nouveau compte et le nouveau groupe ne sont jamais localisés. Par exemple, quelle que soit la langue du système d’exploitation Windows que vous installez, le nom du compte IIS sera toujours IUSR et le nom du groupe sera IIS_IUSRS.
Pour plus d’informations, consultez Présentation des comptes d’utilisateurs et de groupes intégrés dans IIS 7.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-568 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | IUSR |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Générateurs d’approbation de forêt entrante
Les membres du groupe Générateurs d’approbations de forêt entrante peuvent créer des approbations entrantes unidirectionnelles pour cette forêt. Active Directory assure la sécurité sur plusieurs domaines ou forêts par l’intermédiaire de relations d’approbation de domaine et de forêt. Pour que l’authentification puisse s’effectuer entre les approbations, Windows doit déterminer si le domaine demandé par un utilisateur, un ordinateur ou un service dispose d’une relation d’approbation avec le domaine d’ouverture de session du compte demandeur.
Pour effectuer cette détermination, le système de sécurité de Windows calcule un chemin d’approbation entre le contrôleur de domaine du serveur qui reçoit la demande et un contrôleur de domaine dans le domaine du compte demandeur. Un canal sécurisé s’étend à d’autres domaines Active Directory par le biais de relations d’approbation entre domaines. Ce canal sécurisé est utilisé pour obtenir et vérifier des informations de sécurité, entre autres les SID pour les utilisateurs et les groupes.
Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.
Pour plus d’informations, consultez Fonctionnement des approbations de domaine et de forêt : approbations de domaine et de forêt.
Le groupe Générateurs d’approbations de forêt entrante s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-557 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Administrateurs de clés
Les membres de ce groupe peuvent effectuer des actions administratives sur des objets clés au sein du domaine.
Le groupe Administrateurs de clés s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-526 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Opérateurs de configuration réseau
Les membres du groupe Opérateurs de configuration réseau peuvent disposer des privilèges d’administration suivants pour gérer la configuration des fonctionnalités réseau :
Modifier les propriétés TCP/IP (Transmission Control Protocol/Internet Protocol) pour une connexion de réseau local (LAN), notamment l’adresse IP, le masque de sous-réseau, la passerelle par défaut et les serveurs de noms
Renommer les connexions LAN ou les connexions d’accès à distance accessibles à tous les utilisateurs
Activer ou désactiver une connexion LAN
Modifier les propriétés de toutes les connexions d’accès à distance des utilisateurs
Supprimer toutes les connexions d’accès à distance des utilisateurs
Renommer toutes les connexions d’accès à distance des utilisateurs
Émettre des commandes
ipconfig,ipconfig /releaseetipconfig /renewEntrer le code de déverrouillage (PUK) pour les appareils haut débit mobiles qui prennent en charge une carte SIM
Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.
Le groupe Opérateurs de configuration réseau s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-556 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Oui |
| Droits d’utilisateur par défaut | None |
Utilisateurs du journal des performances
Les membres du groupe Utilisateurs du journal de performances peuvent gérer les compteurs de performance, les journaux et les alertes localement sur le serveur et à partir de clients distants sans être membres du groupe Administrateurs. Plus précisément, les membres de ce groupe de sécurité :
Peuvent utiliser toutes les fonctionnalités accessibles au groupe Utilisateurs de l’Analyseur de performances.
Peuvent créer et modifier des ensembles de collecteurs de données une fois que le groupe s’est vu attribuer le droit de l’utilisateur Ouvrir une session en tant que tâche.
Avertissement
Si vous êtes membre du groupe Utilisateurs du journal de performances, vous devez configurer les ensembles de collecteurs de données que vous créez de façon à ce» qu’ils s’exécutent sous vos informations d’identification.
Notes
Dans Windows Server 2016 et versions ultérieures, un membre du groupe Utilisateurs du journal de performances ne peut pas créer de jeux de collecteurs de données. Si un membre du groupe Utilisateurs du journal de performances tente de créer des ensembles de collecteurs de données, il ne peut pas terminer l’action, car l’accès est refusé.
Ne peuvent pas utiliser le fournisseur d’événements Trace du noyau Windows dans les ensembles de collecteurs de données.
Pour que les membres du groupe Utilisateurs du journal de performances puissent lancer la journalisation des données ou modifier des ensembles de collecteurs de données, le groupe doit d’abord se voir attribuer le droit de l’utilisateur Ouvrir une session en tant que tâche. Pour attribuer ce droit de l’utilisateur, utilisez le composant logiciel enfichable Stratégie de sécurité locale dans MMC (Microsoft Management Console).
Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce compte ne peut pas être renommé, supprimé ou déplacé.
Le groupe Utilisateurs du journal de performances s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-559 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Oui |
| Droits d’utilisateur par défaut | Ouvrir une session en tant que tâche : SeBatchLogonRight |
Utilisateurs de l’Analyseur de performances
Les membres de ce groupe peuvent superviser les compteurs de performance des contrôleurs de domaine dans le domaine, localement et à partir de clients distants, sans être membres des groupes Administrateurs ou Utilisateurs du journal de performances. L’Analyseur de performances Windows est un composant logiciel enfichable MMC qui fournit des outils pour l’analyse des performances du système. À partir d’une simple console, vous pouvez superviser les performances des applications et du matériel, personnaliser les données que vous souhaitez collecter dans des journaux, définir des seuils d’alertes et des actions automatiques, générer des rapports et afficher les données des performances passées de nombreuses manières.
Plus précisément, les membres de ce groupe de sécurité :
Peuvent utiliser toutes les fonctionnalités accessibles au groupe Utilisateurs.
Peuvent afficher les données de performances en temps réel dans l’Analyseur de performances.
Peuvent modifier les propriétés d’affichage de l’Analyseur de performances lors de l’affichage des données.
Ne peuvent pas créer ou modifier des ensembles de collecteurs de données.
Avertissement
Les membres du groupe Utilisateurs de l’Analyseur de performances ne peuvent pas configurer d’ensembles de collecte de données.
Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.
Le groupe Utilisateurs de l’Analyseur de performances s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-558 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Oui |
| Droits d’utilisateur par défaut | None |
Accès compatible pré-Windows 2000
Les membres du groupe Accès compatible pré-Windows 2000 disposent d’un accès en lecture pour tous les utilisateurs et groupes du domaine. Ce groupe est fourni à des fins de compatibilité descendante pour les ordinateurs exécutant Windows NT versions 4.0 et antérieures. Par défaut, l’identité spéciale Tout le monde est membre de ce groupe. Ajoutez des utilisateurs à ce groupe uniquement s’ils exécutent Windows NT 4.0 ou version antérieure.
Avertissement
Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO).
Le groupe Accès compatible pré-Windows 2000 s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-554 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | Si vous choisissez le mode Autorisations compatibles pré-Windows 2000, les groupes Tout le monde et Anonyme sont membres. Si vous choisissez le mode Autorisations Windows 2000 uniquement, le groupe Utilisateurs authentifiés est membre. |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight Ignorer la vérification transversale : (SeChangeNotifyPrivilege) |
Opérateurs d'impression
Les membres de ce groupe peuvent gérer, créer, partager et supprimer des imprimantes connectées aux contrôleurs de domaine dans le domaine. Ils peuvent également gérer les objets imprimantes Active Directory dans le domaine. Les membres de ce groupe peuvent se connecter localement aux contrôleurs de domaine dans le domaine, et les arrêter.
Ce groupe ne possède aucun membre par défaut. Étant donné que les membres de ce groupe peuvent charger et décharger des pilotes de périphériques sur tous les contrôleurs de domaine dans le domaine, soyez attentif lorsque vous y ajoutez des utilisateurs. Ce groupe ne peut pas être renommé ou supprimé.
Le groupe Opérateurs d’impression s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
Pour plus d’informations, consultez Affecter des paramètres d’autorisation pour l’administrateur d’impression délégué et les imprimantes dans Windows Server 2012.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-550 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Autoriser la connexion localement : SeInteractiveLogonRight Charger et décharger les pilotes de périphériques : SeLoadDriverPrivilege Arrêter le système : SeShutdownPrivilege |
Utilisateurs protégés
Les membres du groupe Utilisateurs protégés bénéficient d’une protection supplémentaire contre la compromission des informations d’identification pendant les processus d’authentification.
Ce groupe de sécurité est conçu dans le cadre d'une stratégie pour protéger et gérer efficacement les informations d'identification dans l'entreprise. Les membres de ce groupe disposent automatiquement d’une protection non configurable appliquée à leurs comptes. L'appartenance au groupe Utilisateurs protégés est censée être restrictive et sécurisée de manière proactive par défaut. Le seul moyen de modifier la protection pour un compte consiste à supprimer le compte du groupe de sécurité.
Ce groupe Global lié au domaine déclenche une protection non configurable sur les appareils et les ordinateurs hôtes, à compter des systèmes d’exploitation Windows Server 2012 R2 et Windows 8.1. Il déclenche également une protection non configurable sur les contrôleurs de domaine dans les domaines qui ont un contrôleur de domaine principal exécutant Windows Server 2016 ou Windows Server 2012 R2. Cette protection réduit considérablement l’encombrement mémoire des informations d’identification quand les utilisateurs se connectent aux ordinateurs du réseau à partir d’un ordinateur fiable.
En fonction du niveau fonctionnel du domaine du compte, les membres du groupe Utilisateurs protégés sont davantage protégés grâce aux modifications de comportement dans les méthodes d’authentification prises en charge dans Windows :
Les membres du groupe Utilisateurs protégés ne peuvent pas s’authentifier à l’aide des fournisseurs SSP (Security Support Providers) suivants : NTLM, Digest Authentication ou CredSSP. Les mots de passe ne sont pas mis en cache sur un appareil exécutant Windows 10 ou Windows 8.1, de sorte que l’appareil ne parvient pas à s’authentifier auprès d’un domaine lorsque le compte est membre du groupe Utilisateurs protégés.
Le protocole Kerberos n’utilisera pas les types de chiffrement DES et RC4 plus faibles dans le processus de pré-authentification. Le domaine doit être configuré pour prendre en charge au moins la suite de chiffrement AES.
Le compte de l’utilisateur ne peut pas être délégué via la délégation Kerberos contrainte ou non contrainte. Si l’utilisateur est membre du groupe Utilisateurs protégés, les anciennes connexions aux autres systèmes peuvent échouer.
Vous pouvez modifier le paramètre de durée de vie TGT (Ticket Granting Ticket) Kerberos par défaut de quatre heures à l’aide des silos et stratégies d’authentification dans le Centre d’administration Active Directory. Avec le paramètre par défaut, lorsque quatre heures se sont écoulées, l’utilisateur doit à nouveau s’authentifier.
Le groupe Utilisateurs protégés s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
Ce groupe a été introduit dans Windows Server 2012 R2. Pour plus d’informations sur ce groupe, consultez Groupe de sécurité Utilisateurs protégés.
Le tableau suivant spécifie les propriétés du groupe Utilisateurs protégés :
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-525 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Serveurs RAS et IAS
Lorsqu’ils sont correctement configurés, les ordinateurs membres du groupe Serveurs RAS et IAS peuvent utiliser des services d’accès à distance. Par défaut, ce groupe n’a aucun membre. Les ordinateurs qui exécutent le service de routage et d’accès à distance (RRAS) et des services d’accès à distance comme le service d’authentification Internet (IAS) et les serveurs de stratégie réseau sont automatiquement ajoutés au groupe. Les membres de ce groupe ont accès à certaines propriétés des objets User, telles que Lire les restrictions de compte, Lire les informations de connexion et Lire les informations d’accès à distance.
Le groupe Serveurs RAS et IAS s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-553 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Oui |
| Droits d’utilisateur par défaut | None |
Serveurs de points de terminaison...
Les serveurs membres du groupe Serveurs de points de terminaison RDS peuvent exécuter des machines virtuelles et héberger des sessions où s’exécutent des programmes RemoteApp utilisateur et des bureaux virtuels personnels. Vous devez remplir ce groupe sur les serveurs exécutant le service Broker pour les connexions Bureau à distance. Les serveurs hôtes de session et les serveurs hôtes de virtualisation Bureau à distance utilisés dans le déploiement doivent se trouver dans ce groupe.
Pour plus d’informations sur les services Bureau à distance, consultez Héberger des bureaux et des applications dans les services Bureau à distance.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-576 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Serveurs Gestion RDS
Vous pouvez utiliser des serveurs membres du groupe Serveurs Gestion RDS pour effectuer des actions d’administration de routine sur les serveurs exécutant RDS. Vous devez remplir ce groupe sur tous les serveurs d’un déploiement RDS. Les serveurs exécutant le service Gestion centrale des services Bureau à distance doivent être inclus dans ce groupe.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-577 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Serveurs Accès Distant RDS
Les serveurs du groupe Serveurs Accès Distant RDS fournissent aux utilisateurs l’accès aux programmes RemoteApp et aux bureaux virtuels personnels. Dans les déploiements internet, ces serveurs sont généralement déployés dans un réseau de périphérie. Vous devez remplir ce groupe sur les serveurs exécutant le service Broker pour les connexions Bureau à distance. Les serveurs de passerelle Bureau à distance et les serveurs Accès Bureau à distance par le Web utilisés dans le déploiement doivent faire partie de ce groupe.
Pour plus d’informations, consultez Héberger des bureaux et des applications dans les services Bureau à distance.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-575 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Contrôleurs de domaine en lecture seule
Ce groupe est composé des contrôleurs de domaine en lecture seule (RODC) du domaine. Un RODC permet aux organisations de déployer facilement un contrôleur de domaine dans les scénarios où la sécurité physique ne peut pas être garantie, par exemple dans les filiales ou lorsque le stockage local de tous les mots de passe de domaine est considéré comme une menace principale, comme dans un rôle extranet ou orienté application.
Étant donné que vous pouvez déléguer l’administration d’un contrôleur de domaine à un utilisateur de domaine ou à un groupe de sécurité, un RODC est bien adapté à un site qui ne doit pas avoir d’utilisateur membre du groupe Administrateurs de domaine. Un RODC dispose des fonctionnalités suivantes :
Il contient une base de données AD DS en lecture seule
Réplication unidirectionnelle
Mise en cache des informations d’identification
Séparation des rôles d’administrateur
Il contient le système DNS (Domain Name System) en lecture seule
Pour plus d’informations, consultez Présentation de la planification et du déploiement pour les contrôleurs de domaine en lecture seule.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-521 |
| Type | Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | Groupe de réplication dont le mot de passe RODC est refusé |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | Voir Groupe de réplication dont le mot de passe RODC est refusé |
Utilisateurs du Bureau à distance
Utilisez le groupe Utilisateurs du Bureau à distance sur un serveur hôte de session Bureau à distance pour accorder aux utilisateurs et aux groupes les autorisations de se connecter à distance à un serveur hôte de session Bureau à distance. Ce groupe ne peut pas être renommé ou supprimé. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO).
Le groupe Utilisateurs du Bureau à distance s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-555 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Oui |
| Droits d’utilisateur par défaut | None |
Utilisateurs de gestion à distance
Les membres du groupe Utilisateurs de gestion à distance peuvent accéder aux ressources WMI (Windows Management Instrumentation) via des protocoles de gestion tels que WS-Management par le biais du service Windows Remote Management. L’accès aux ressources WMI s’applique uniquement aux espaces de noms WMI qui accordent l’accès à l’utilisateur.
Utilisez le groupe Utilisateurs de gestion à distance pour permettre aux utilisateurs de gérer les serveurs par le biais de la console Gestionnaire de serveur. Utilisez le groupe WinRMRemoteWMIUsers\_ pour permettre aux utilisateurs d’exécuter des commandes Windows PowerShell à distance.
Pour plus d’informations, consultez Nouveautés de WMI et À propos de WMI.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-580 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Duplicateur
Les ordinateurs membres du groupe Duplicateur prennent en charge la réplication de fichiers dans un domaine. Les systèmes d’exploitation Windows Server utilisent le service de réplication de fichiers (FRS) pour répliquer les stratégies système et les scripts d’ouverture de session stockés dans le dossier Volume système (dossier sysvol). Chaque contrôleur de domaine conserve une copie du dossier sysvol auquel les clients réseau peuvent accéder. Le service FRS peut également répliquer des données pour le système de fichiers DFS (Distributed File System) et synchroniser le contenu de chaque membre dans un jeu de réplicas tel que défini par DFS. Le service FRS peut copier et tenir à jour simultanément des fichiers et dossiers partagés sur plusieurs serveurs. Lorsque des modifications se produisent, le contenu est synchronisé immédiatement dans les sites et selon une planification entre les sites.
Avertissement
Dans Windows Server 2008 R2, vous ne pouvez pas utiliser le service FRS pour répliquer des dossiers DFS ou des données personnalisées (non sysvol). Un contrôleur de domaine Windows Server 2008 R2 peut toujours utiliser le service FRS pour répliquer le contenu de la ressource partagée du dossier sysvol dans un domaine qui utilise le service FRS pour répliquer la ressource partagée du dossier sysvol entre les contrôleurs de domaine. Toutefois, les serveurs Windows Server 2008 R2 ne peuvent pas utiliser le service FRS pour répliquer le contenu d’un jeu de réplicas, à l’exception de la ressource partagée du dossier sysvol. Le service de réplication DFS est un remplacement du service FRS. Vous pouvez utiliser la réplication DFS pour répliquer le contenu d’une ressource partagée de dossier sysvol, de dossiers DFS et d’autres données personnalisées (non sysvol). Vous devez migrer tous les jeux de réplicas FRS non sysvol vers la réplication DFS.
Pour plus d'informations, consultez les pages suivantes :
- Le service de réplication de fichiers (FRS) est déprécié dans Windows Server 2008 R2 (Windows)
- Vue d’ensemble des espaces de noms DFS et de la réplication DFS
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-552 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |
Administrateurs du schéma
Les membres du groupe Administrateurs du schéma peuvent modifier le schéma Active Directory. Ce groupe existe uniquement dans le domaine racine d’une forêt de domaines Active Directory. Ce groupe est un groupe Universel si le domaine est en mode natif. Ce groupe est un groupe Global si le domaine est en mode mixte.
Le groupe est autorisé à apporter des modifications de schéma dans Active Directory. Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de la forêt. Ce groupe dispose d’un accès administratif complet au schéma.
N’importe quel groupe d’administrateurs de service dans le domaine racine peut modifier l’appartenance à ce groupe. Ce groupe est considéré comme un compte d’administrateur de service, car ses membres peuvent modifier le schéma, qui régit la structure et le contenu de l’ensemble de l’annuaire.
Pour plus d’informations, consultez Qu’est-ce qu’un schéma Active Directory ?.
Le groupe Administrateurs du schéma s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine racine>-518 |
| Type | Universel (si le domaine est en mode natif), sinon Global |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | Administrateur |
| Membre par défaut de | Groupe de réplication dont le mot de passe RODC est refusé |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Voir Groupe de réplication dont le mot de passe RODC est refusé |
Opérateurs de serveur
Les membres du groupe Opérateurs de serveur peuvent administrer des contrôleurs de domaine. Ce groupe existe uniquement sur les contrôleurs de domaine. Par défaut, le groupe n’a aucun membre. Les membres du groupe Opérateurs de serveur peuvent effectuer les actions suivantes : se connecter à un serveur de manière interactive, créer et supprimer des ressources réseau partagées, démarrer et arrêter des services, sauvegarder et restaurer des fichiers, formater le disque dur de l’ordinateur, et arrêter l’ordinateur. Ce groupe ne peut pas être renommé ou supprimé.
Par défaut, ce groupe intégré n’a aucun membre. Le groupe a accès aux options de configuration du serveur sur les contrôleurs de domaine. Son appartenance est contrôlée par les groupes d’administrateurs de service Administrateurs et Admins du domaine dans le domaine, et par le groupe Administrateurs de l’entreprise dans le domaine racine de la forêt. Les membres de ce groupe ne peuvent pas modifier les appartenances aux groupes administratifs. Ce groupe est considéré comme un compte d’administrateur de service, car ses membres ont un accès physique aux contrôleurs de domaine. Les membres de ce groupe peuvent effectuer des tâches de maintenance telles que la sauvegarde et la restauration, et ils peuvent modifier les fichiers binaires installés sur les contrôleurs de domaine. Consultez les droits de l’utilisateur par défaut du groupe dans le tableau suivant.
Le groupe Opérateurs de serveur s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-549 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Oui |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | Autoriser la connexion localement : SeInteractiveLogonRight Sauvegarder les fichiers et les répertoires : SeBackupPrivilege Modifier l’heure système : SeSystemTimePrivilege Modifier le fuseau horaire : SeTimeZonePrivilege Forcer l’arrêt à partir d’un système distant : SeRemoteShutdownPrivilege Restaurer des fichiers et des répertoires : Restaurer des fichiers et des répertoires SeRestorePrivilege Arrêter le système : SeShutdownPrivilege |
Administrateurs de réplica de stockage
Les membres du groupe Administrateurs de réplica de stockage ont un accès complet et sans restriction à toutes les fonctionnalités du réplica de stockage. Le groupe Administrateurs de réplica de stockage s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-582 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
System Managed Accounts
L’appartenance au groupe System Managed Accounts est gérée par le système.
Le groupe System Managed Accounts s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-581 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | Utilisateurs |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Serveurs de licences des services Terminal Server
Les membres du groupe Serveurs de licences des services Terminal Server peuvent mettre à jour les comptes d’utilisateur dans Active Directory avec des informations sur l’émission de licences. Le groupe est utilisé pour suivre et signaler l’utilisation des licences d’accès client des services Terminal Server par utilisateur. Une licence d’accès client des services Terminal Server par utilisateur donne à un utilisateur le droit d’accéder à une instance de Terminal Server à partir d’un nombre illimité d’ordinateurs ou d’appareils clients. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.
Pour plus d’informations sur ce groupe de sécurité, consultez Configuration du groupe de sécurité Serveurs de licences des services Terminal Server.
Le groupe Serveurs de licences des services Terminal Server s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-561 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Protégé par AdminSDHolder ? | Non |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Oui |
| Droits d’utilisateur par défaut | None |
Utilisateurs
Les membres du groupe Utilisateurs ne peuvent pas effectuer de modifications accidentelles ou intentionnelles à l’échelle du système. Les membres de ce groupe peuvent exécuter la plupart des applications. Après l’installation initiale du système d’exploitation, le seul membre est le groupe Utilisateurs authentifiés. Lorsqu’un ordinateur rejoint un domaine, le groupe Utilisateurs du domaine est ajouté au groupe Utilisateurs sur l’ordinateur.
Les utilisateurs peuvent effectuer des tâches telles que l’exécution d’une application, l’utilisation d’imprimantes locales et réseau, l’arrêt de l’ordinateur et le verrouillage de l’ordinateur. Les utilisateurs peuvent installer des applications qu’eux seuls peuvent utiliser si le programme d’installation de l’application prend en charge l’installation par utilisateur. Ce groupe ne peut pas être renommé ou supprimé.
Le groupe Utilisateurs s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
Ce groupe de sécurité inclut les modifications suivantes à compter de Windows Server 2008 :
Dans Windows Server 2008 R2, Interactive a été ajouté à la liste des membres par défaut.
Dans Windows Server 2012, la liste Membre de par défaut est passée de Utilisateurs de domaine à aucun.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-545 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | Utilisateurs authentifiés |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Non |
| Droits d’utilisateur par défaut | None |
Groupe d’accès d’autorisation Windows
Les membres de ce groupe ont accès à l’attribut GroupsGlobalAndUniversal du jeton calculé sur les objets User. Certaines applications ont des fonctionnalités qui lisent l’attribut token-groups-global-and-universal (TGGAU) sur les objets de compte d’utilisateur ou de compte d’ordinateur dans AD DS. Certaines fonctions Win32 facilitent la lecture de l’attribut TGGAU. Les applications qui lisent cet attribut ou qui appellent une API (une fonction) qui lit cet attribut échouent si le contexte de sécurité appelant n’a pas accès à l’attribut. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.
Le Groupe d’accès d’autorisation Windows s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-32-560 |
| Type | Builtin Local |
| Conteneur par défaut | CN=Builtin, DC=<domaine>, DC= |
| Membres par défaut | Contrôleurs de domaine d’entreprise |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Déplacement impossible |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | Oui |
| Droits d’utilisateur par défaut | None |
WinRMRemoteWMIUsers_
Dans Windows Server 2012 et Windows 8, un onglet Partager a été ajouté à l’interface utilisateur Paramètres de sécurité avancés. Cet onglet affiche les propriétés de sécurité d’un partage de fichiers distant. Pour afficher ces informations, vous devez disposer des autorisations et appartenances suivantes, en fonction de la version de Windows Server exécutée par le serveur de fichiers.
Le groupe WinRMRemoteWMIUsers_ s’applique au système d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
Si le partage de fichiers est hébergé sur un serveur qui exécute une version prise en charge du système d’exploitation :
Vous devez être membre du groupe WinRMRemoteWMIUsers__ ou du groupe BUILTIN\Administrators
Vous devez disposer des autorisations Lecture sur le partage de fichiers
Si le partage de fichiers est hébergé sur un serveur qui exécute une version de Windows Server antérieure à Windows Server 2012 :
Vous devez être membre du groupe BUILTIN\Administrators
Vous devez disposer des autorisations Lecture sur le partage de fichiers
Dans Windows Server 2012, la fonctionnalité Assistance en cas d’accès refusé ajoute le groupe Utilisateurs authentifiés au groupe WinRMRemoteWMIUsers__ local. Lorsque la fonctionnalité Assistance en cas d’accès refusé est activée, tous les utilisateurs authentifiés disposant d’autorisations Lecture sur le partage de fichiers peuvent afficher les autorisations de partage de fichiers.
Notes
Le groupe WinRMRemoteWMIUsers__ permet d’exécuter des commandes Windows PowerShell à distance. En revanche, vous utilisez généralement le groupe Utilisateurs de gestion à distance pour permettre aux utilisateurs de gérer des serveurs à l’aide de la console Gestionnaire de serveur.
| Attribut | Valeur |
|---|---|
| SID/RID connu | S-1-5-21-<domaine>-<variable RI> |
| Type | Domaine local |
| Conteneur par défaut | CN=Users, DC=<domaine>, DC= |
| Membres par défaut | None |
| Membre par défaut de | None |
| Protégé par AdminSDHolder ? | Non |
| Sortie du conteneur par défaut sécurisée ? | Oui |
| Délégation de la gestion de ce groupe à des administrateurs extérieurs au service sécurisée ? | |
| Droits d’utilisateur par défaut | None |