Partager via

Annexe B : Guide de référence sur les comptes et groupes privilégiés Active Directory

Les services de domaine Active Directory contiennent de nombreux comptes et groupes intégrés qui disposent de privilèges élevés pour effectuer des tâches administratives. Ces comptes privilégiés bénéficient de droits puissants, de privilèges et d’autorisations qui leur permettent d’effectuer presque toutes les actions dans Active Directory et sur les systèmes joints à un domaine.

Cette annexe fournit des informations essentielles sur les points suivants :

  • Droits, privilèges et autorisations.
  • Groupes de privilèges les plus élevés.
  • Comptes intégrés et par défaut.

Comprendre ces comptes et groupes privilégiés est essentiel pour implémenter des stratégies de surveillance et de contrôles de sécurité efficaces. Les informations contenues dans cette annexe constituent la base des recommandations spécifiques en matière de sécurité et des conseils de mise en œuvre fournis dans les annexes associées.

Important

Les comptes et les groupes décrits dans cette annexe ont des privilèges étendus qui peuvent affecter toute votre forêt Active Directory. La sécurité appropriée de ces comptes est essentielle pour maintenir l’intégrité de votre environnement d’annuaire.

Droits, privilèges et autorisations dans Active Directory

Les différences entre les droits, les autorisations et les privilèges peuvent prêter à confusion. Cette section décrit certaines des caractéristiques de chacune d’elles à mesure qu’elles sont utilisées dans ce document. Ces descriptions ne doivent pas être considérées comme faisant autorité pour d’autres documents Microsoft, car elles peuvent utiliser ces termes différemment.

Droits et privilèges

Les droits et privilèges sont en fait les mêmes fonctionnalités à l’échelle du système que celles accordées aux principaux de sécurité tels que les utilisateurs, les services, les ordinateurs ou les groupes. Dans les interfaces généralement utilisées par les professionnels de l’informatique, elles sont appelées droits ou droits utilisateur, et elles sont souvent attribuées par des objets de stratégie de groupe. La capture d’écran suivante montre certains des droits d’utilisation les plus courants qui peuvent être attribués aux principaux de sécurité (elle représente le GPO des Contrôleurs de domaine par défaut dans un domaine Windows Server 2012). Certains de ces droits s’appliquent à Active Directory, tels que le droit d'utilisation Autoriser l’ordinateur et les comptes d’utilisateur à être approuvés pour la délégation, tandis que d’autres droits s’appliquent au système d’exploitation Windows, tels que Modifier l’heure système.

Comptes et groupes privilégiés

Dans les interfaces telles que l’éditeur d’objets de stratégie de groupe, toutes ces fonctionnalités attribuables sont généralement appelées droits d’utilisation. Toutefois, en réalité certains droits d'utilisation sont appelés par programmation en tant que droits, tandis que d’autres sont appelés par programmation en tant que privilèges. Bien que la stratégie de groupe et d’autres interfaces fassent référence à tous ces droits d’utilisation, certains sont identifiés par programmation en tant que droits, tandis que d’autres sont définis en tant que privilèges.

Pour plus d’informations sur chacun des droits utilisateur répertoriés dans le tableau suivant, consultez le Guide des menaces et des contre-mesures : Droits utilisateur dans le guide d’atténuation des menaces et des vulnérabilités pour Windows Server

Remarque

À des fins de ce document, les droits relatifs aux termes et les droits utilisateur sont utilisés pour identifier les droits et privilèges, sauf indication contraire.

Autorisations

Les autorisations sont des contrôles d’accès appliqués aux objets sécurisables tels que le système de fichiers, le registre, le service et les objets Active Directory. Chaque objet sécurisable a une liste de contrôle d’accès (ACL) associée, qui contient des entrées de contrôle d’accès (ACE) qui accordent ou refusent aux principaux de sécurité (utilisateurs, services, ordinateurs ou groupes) la possibilité d’effectuer diverses opérations sur l’objet. Par exemple, les listes de contrôle d’accès pour de nombreux objets dans Active Directory contiennent des ACL qui permettent aux utilisateurs authentifiés de lire des informations générales sur les objets, mais ne leur accordent pas la possibilité de lire des informations sensibles ou de modifier les objets. À l’exception du compte invité intégré de chaque domaine, chaque principal de sécurité qui se connecte et est authentifié par un contrôleur de domaine dans une forêt Active Directory ou une forêt approuvée a ajouté l’identificateur de sécurité des utilisateurs authentifiés (SID) à son jeton d’accès par défaut. Par conséquent, si un compte d’utilisateur, de service ou d’ordinateur tente de lire des propriétés générales sur des objets utilisateurs dans un domaine, l’opération de lecture réussit.

Si un principal de sécurité tente d’accéder à un objet pour lequel aucune acEs n’est définie et qui contient un SID présent dans le jeton d’accès du principal, le principal ne peut pas accéder à l’objet. En outre, si un ACE dans la liste de contrôle d’accès d’un objet contient une entrée de refus pour un SID qui correspond au jeton d’accès de l’utilisateur, l’ACE de refus remplace généralement un ace autorisé en conflit. Pour plus d’informations sur le contrôle d’accès dans Windows, consultez Access Control sur le site web MSDN.

Dans ce document, les autorisations font référence aux fonctionnalités accordées ou refusées aux principaux de sécurité sur des objets sécurisables. Chaque fois qu’il existe un conflit entre un droit d’utilisateur et une autorisation, le droit de l’utilisateur est généralement prioritaire. Par exemple, si un objet dans Active Directory est configuré avec une liste de contrôle d’accès qui refuse aux administrateurs tout accès en lecture et en écriture à un objet, un utilisateur membre du groupe Administrateurs du domaine ne peut pas afficher beaucoup d’informations sur l’objet. Toutefois, étant donné que le groupe Administrateurs reçoit le droit d’utilisateur Prendre possession de fichiers ou d’autres objets, l’utilisateur peut simplement prendre possession de l’objet en question, puis réécrire la liste de contrôle d’accès de l’objet pour accorder aux administrateurs le contrôle total de l’objet.

C’est pour cette raison que ce document vous encourage à éviter d’utiliser de puissants comptes et groupes pour l’administration quotidienne, plutôt que d’essayer de restreindre les fonctionnalités des comptes et des groupes. Il n’est pas possible d’empêcher un utilisateur déterminé qui a accès à des informations d’identification puissantes d’utiliser ces informations d’identification pour accéder à n’importe quelle ressource sécurisable.

Comptes et groupes privilégiés intégrés

Active Directory est destiné à faciliter la délégation de l’administration et le principe des privilèges minimum dans l’attribution de droits et d’autorisations. Les utilisateurs réguliers qui ont des comptes dans un domaine Active Directory sont, par défaut, en mesure de lire une grande partie de ce qui est stocké dans l’annuaire, mais sont en mesure de modifier uniquement un ensemble limité de données dans l’annuaire. Les utilisateurs qui nécessitent un privilège supplémentaire peuvent être membres de différents groupes privilégiés intégrés à l’annuaire afin qu’ils puissent effectuer des tâches spécifiques liées à leurs rôles, mais ne peuvent pas effectuer de tâches qui ne sont pas pertinentes pour leurs tâches.

Active Directory contient trois groupes intégrés, notamment les groupes de privilèges les plus élevés dans l’annuaire, ainsi qu’un quatrième groupe, le groupe Administrateurs de schémas (SA) :

Le groupe Administrateurs de schémas (SA) a des privilèges qui, en cas d’abus, peuvent endommager ou détruire une forêt Active Directory entière, mais ce groupe est plus limité dans ses fonctionnalités que les groupes EA, DA et BA.

En plus de ces quatre groupes, il existe de nombreux comptes et groupes intégrés et par défaut supplémentaires dans Active Directory, chacun disposant de droits et d’autorisations permettant d’effectuer des tâches administratives spécifiques. Bien que cette annexe ne fournit pas de discussion approfondie sur chaque groupe intégré ou par défaut dans Active Directory, elle fournit une table des groupes et comptes que vous êtes le plus susceptible de voir dans vos installations.

Par exemple, si vous installez Microsoft Exchange Server dans une forêt Active Directory, des comptes et des groupes supplémentaires peuvent être créés dans les conteneurs intégrés et utilisateurs de vos domaines. Cette annexe décrit uniquement les groupes et les comptes créés dans les conteneurs Intégrés et Utilisateurs dans Active Directory, en fonction des fonctionnalités et des rôles natifs. Les comptes et les groupes créés par l’installation de logiciels d’entreprise ne sont pas inclus.

Administrateurs de l’entreprise

Le groupe Administrateurs d’entreprise (EA) se trouve dans le domaine racine de la forêt et, par défaut, il est membre du groupe Administrateurs intégré dans chaque domaine de la forêt. Le compte Administrateur intégré dans le domaine racine de la forêt est le seul membre par défaut du groupe EA. Les EA reçoivent des droits et des autorisations qui leur permettent d’affecter les modifications à l’échelle de la forêt. Il s’agit de modifications qui affectent tous les domaines de la forêt, telles que l’ajout ou la suppression de domaines, l’établissement d’approbations de forêt ou l’élévation des niveaux fonctionnels de la forêt. Dans un modèle de délégation correctement conçu et implémenté, l’appartenance à l’EA n’est requise que lors de la construction initiale de la forêt ou lors de certaines modifications à l’échelle de la forêt, telles que l’établissement d’une approbation de forêt sortante.

Le groupe EA se trouve par défaut dans le conteneur Utilisateurs du domaine racine de forêt, et il s’agit d’un groupe de sécurité universel, sauf si le domaine racine de la forêt s’exécute en mode mixte Windows 2000 Server, auquel cas le groupe est un groupe de sécurité global. Bien que certains droits soient accordés directement au groupe EA, la plupart des droits de ce groupe sont hérités par le groupe EA, car il est membre du groupe Administrateurs dans chaque domaine de la forêt. Les administrateurs d’entreprise n’ont aucun droit par défaut sur les stations de travail ou les serveurs membres.

Administrateurs du domaine

Chaque domaine d’une forêt a son propre groupe Administrateurs de domaine (DA), qui est membre du groupe Administrateurs intégré (BA) de ce domaine en plus d’un membre du groupe Administrateurs local sur chaque ordinateur joint au domaine. Le seul membre par défaut du groupe DA pour un domaine est le compte Administrateur intégré pour ce domaine.

Les DA sont toutes puissantes au sein de leurs domaines, tandis que les BA ont des privilèges à l’échelle de la forêt. Dans un modèle de délégation correctement conçu et implémenté, l’appartenance à DA doit être requise uniquement dans les scénarios de secours, qui sont des situations dans lesquelles un compte avec des niveaux élevés de privilèges sur chaque ordinateur du domaine est nécessaire, ou lorsque certaines modifications à l’échelle du domaine doivent être apportées. Bien que les mécanismes de délégation Active Directory natifs autorisent la délégation dans la mesure où il est possible d’utiliser des comptes DA uniquement dans les scénarios d’urgence, la construction d’un modèle de délégation efficace peut prendre du temps et de nombreuses organisations utilisent des applications tierces pour accélérer le processus.

Le groupe DA est un groupe de sécurité global situé dans le conteneur Utilisateurs pour le domaine. Il existe un groupe DA pour chaque domaine de la forêt, et le seul membre par défaut d’un groupe DA est le compte Administrateur intégré du domaine. Étant donné que le groupe DA d’un domaine est imbriqué dans le groupe BA du domaine et que chaque groupe Administrateurs locaux du système joint à un domaine, les autorités de domaine disposent non seulement d’autorisations accordées aux administrateurs de domaine, mais elles héritent également de tous les droits et autorisations accordés au groupe Administrateurs du domaine et du groupe Administrateurs locaux sur tous les systèmes joints au domaine.

Administrateurs

Le groupe Administrateurs intégrés (BA) est un groupe local de domaine dans le conteneur intégré d’un domaine dans lequel les autorités de domaine et les autorités de certification sont imbriquées. Il s’agit de ce groupe qui dispose de nombreux droits et autorisations directs dans l’annuaire et sur les contrôleurs de domaine. Toutefois, le groupe Administrateurs d’un domaine ne dispose pas de privilèges sur les serveurs membres ou sur les stations de travail. L’appartenance au groupe Administrateurs local des ordinateurs joints à un domaine est l’endroit où le privilège local est accordé ; et parmi les groupes décrits, seuls les DA sont membres de tous les groupes Administrateurs locaux de tous les ordinateurs joints à un domaine par défaut.

Le groupe Administrateurs est un groupe local de domaine dans le conteneur intégré du domaine. Par défaut, le groupe BA de chaque domaine contient le compte Administrateur intégré du domaine local, le groupe DA du domaine local et le groupe EA du domaine racine de forêt. De nombreux droits d’utilisateur dans Active Directory et sur les contrôleurs de domaine sont accordés spécifiquement au groupe Administrateurs, et non aux EA ou aux DA. Le groupe BA d’un domaine dispose d’autorisations de contrôle total sur la plupart des objets de répertoire et peut prendre possession des objets de répertoire. Bien que les groupes EA et DA reçoivent certaines autorisations spécifiques à l’objet dans la forêt et les domaines, une grande partie de la puissance des groupes est héritée de leur appartenance aux groupes BA.

Remarque

Bien qu’il s’agisse des configurations par défaut de ces groupes privilégiés, un membre de l’un des trois groupes peut manipuler le répertoire pour devenir membre de l’un des autres groupes. Dans certains cas, il est trivial d’atteindre, tandis que dans d’autres, il est plus difficile, mais du point de vue du privilège potentiel, les trois groupes doivent être considérés comme équivalents efficacement.

Administrateurs du schéma

Le groupe Administrateurs de schéma (SA) est un groupe universel dans le domaine racine de la forêt et il n’a que le compte Administrateur intégré de ce domaine comme membre par défaut, comme le groupe EA. Bien que l’appartenance au groupe SA puisse permettre à un attaquant de compromettre le schéma Active Directory, qui est l’infrastructure de l’ensemble de la forêt Active Directory, les SA disposent de peu de droits et d’autorisations par défaut au-delà du schéma.

Vous devez gérer et surveiller soigneusement l’appartenance au groupe SA, mais à certains égards, ce groupe est moins privilégié que les trois groupes privilégiés les plus élevés décrits précédemment, car l’étendue de ses privilèges est étroite ; autrement dit, les autorités de certification n’ont aucun droit d’administration n’importe où autre que le schéma.

Groupes intégrés et par défaut supplémentaires dans Active Directory

Pour faciliter la délégation de l’administration dans le répertoire, Active Directory est fourni avec différents groupes intégrés et par défaut auxquels des droits et autorisations spécifiques ont été accordés. Ces groupes sont décrits brièvement dans le tableau suivant.

Les sections suivantes répertorient les groupes intégrés et par défaut dans Active Directory. Les deux ensembles de groupes existent par défaut ; toutefois, les groupes intégrés se trouvent (par défaut) dans le conteneur intégré dans Active Directory, tandis que les groupes par défaut se trouvent (par défaut) dans le conteneur Utilisateurs dans Active Directory. Les groupes dans le conteneur intégré sont tous des groupes locaux de domaine, tandis que les groupes dans le conteneur Utilisateurs sont un mélange de groupes locaux, globaux et universels de domaine, en plus de trois comptes d’utilisateurs individuels (Administrateur, Invité et Krbtgt).

Outre les groupes aux privilèges les plus élevés décrits plus haut dans cette annexe, certains comptes et groupes intégrés et par défaut bénéficient de privilèges élevés. Ils doivent également être protégés et utilisés uniquement sur des hôtes d’administration sécurisés. Étant donné que certains de ces groupes et comptes disposent de droits et d’autorisations qui peuvent être utilisés de manière incorrecte pour compromettre Active Directory ou les contrôleurs de domaine, ils offrent davantage de protections, comme décrit dans l’annexe C : Comptes et groupes protégés dans Active Directory.

Opérateurs d’assistance de contrôle d’accès

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent interroger à distance des attributs d’autorisation et des autorisations pour les ressources sur cet ordinateur.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : Active Directory dans Windows Server 2012 et versions ultérieures.

Opérateurs de compte

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres peuvent administrer des comptes d’utilisateur et de groupe de domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Compte d’administrateur

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, pas un groupe
  • Description et droits utilisateur par défaut : Compte intégré pour l’administration du domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Ajuster les quotas de mémoire pour un processus
    • Permettre l’ouverture d’une session locale
    • Autoriser l’ouverture de session par les services Bureau à distance
    • Sauvegarder des fichiers et des répertoires
    • Contourner la vérification de parcours
    • Modifier l’heure système
    • Changer le fuseau horaire
    • Créer un fichier d’échange
    • Créer des objets globaux
    • Créer des liens symboliques
    • Déboguer les programmes
    • Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
    • Forcer l’arrêt à partir d’un système distant
    • Emprunter l'identité d'un client après authentification
    • Augmenter une plage de travail de processus
    • Augmenter la priorité de planification
    • Charger et décharger les pilotes de périphériques
    • Ouvrir une session en tant que tâche
    • Gérer le journal d'audit et de sécurité
    • Modifier les valeurs de l’environnement du microprogramme
    • Effectuer les tâches de maintenance de volume
    • Processus unique du profil
    • Performance système du profil
    • Retirer l’ordinateur de la station d’accueil
    • Restaurer des fichiers et des répertoires
    • Arrêter le système
    • Prendre possession de fichiers ou d’autres objets

Groupe d’administrateurs

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les administrateurs disposent d’un accès complet et illimité au domaine.
  • Droits d’utilisation directs :
    • Accéder à cet ordinateur à partir du réseau
    • Ajuster les quotas de mémoire pour un processus
    • Permettre l’ouverture d’une session locale
    • Autoriser l’ouverture de session par les services Bureau à distance
    • Sauvegarder des fichiers et des répertoires
    • Contourner la vérification de parcours
    • Modifier l’heure système
    • Changer le fuseau horaire
    • Créer un fichier d’échange
    • Créer des objets globaux
    • Créer des liens symboliques
    • Déboguer les programmes
    • Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
    • Forcer l’arrêt à partir d’un système distant
    • Emprunter l'identité d'un client après authentification
    • Augmenter la priorité de planification
    • Charger et décharger les pilotes de périphériques
    • Ouvrir une session en tant que tâche
    • Gérer le journal d'audit et de sécurité
    • Modifier les valeurs de l’environnement du microprogramme
    • Effectuer les tâches de maintenance de volume
    • Processus unique du profil
    • Performance système du profil
    • Retirer l’ordinateur de la station d’accueil
    • Restaurer des fichiers et des répertoires
    • Arrêter le système
    • Prendre possession de fichiers ou d’autres objets
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Groupe de réplication dont le mot de passe RODC est autorisé

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent avoir leurs mots de passe répliqués sur tous les contrôleurs de domaine en lecture seule dans le domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Opérateurs de sauvegarde

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les opérateurs de sauvegarde peuvent remplacer les restrictions de sécurité uniquement pour sauvegarder ou restaurer des fichiers.
  • Droits d’utilisation directs :
    • Permettre l’ouverture d’une session locale
    • Sauvegarder des fichiers et des répertoires
    • Ouvrir une session en tant que tâche
    • Restaurer des fichiers et des répertoires
    • Arrêter le système
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Éditeurs de certificats

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe sont autorisés à publier des certificats dans le répertoire.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Accès DCOM au service de certificats

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Si les services de certificats sont installés sur un contrôleur de domaine (non recommandé), ce groupe accorde l’accès d’inscription DCOM aux utilisateurs de domaine et aux ordinateurs de domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Contrôleurs de domaine clonables

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Les membres de ce groupe qui sont des contrôleurs de domaine peuvent être clonés.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : Active Directory dans Windows Server 2012 et versions ultérieures.

Opérateurs de chiffrement

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres sont autorisés à effectuer des opérations de chiffrement.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs de débogueur

  • Conteneur par défaut, étendue de groupe et type : Il ne s’agit ni d’un groupe intégré, ni d’un groupe intégré, mais lorsqu’il est présent dans AD DS, est une cause d’examen approfondi.
  • Description et droits utilisateur par défaut : La présence d’un groupe Utilisateurs de débogueur indique que les outils de débogage ont été installés sur le système à un moment donné, que ce soit via Visual Studio, SQL, Office ou d’autres applications qui nécessitent et prennent en charge un environnement de débogage. Ce groupe autorise l’accès au débogage à distance aux ordinateurs. Lorsque ce groupe existe au niveau du domaine, il indique qu’un débogueur ou une application qui contient un débogueur a été installé sur un contrôleur de domaine.

Groupe de réplication dont le mot de passe RODC est refusé

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe ne peuvent pas avoir leurs mots de passe répliqués sur des contrôleurs de domaine en lecture seule dans le domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Administrateurs DHCP

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe ont un accès administratif au service serveur DHCP.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs DHCP

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe ont un accès en mode uniquement au service serveur DHCP.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs du modèle COM distribué

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe sont autorisés à lancer, activer et utiliser des objets COM distribués sur cet ordinateur.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

DnsAdmins

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe ont un accès administratif au service serveur DNS.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

DnsUpdateProxy

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Les membres de ce groupe sont des clients DNS autorisés à effectuer des mises à jour dynamiques pour le compte des clients qui ne peuvent pas eux-mêmes effectuer des mises à jour dynamiques. Les membres de ce groupe sont généralement des serveurs DHCP.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Administrateurs du domaine

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Administrateurs désignés du domaine ; Les administrateurs de domaine sont membres du groupe Administrateurs locaux de chaque ordinateur joint à un domaine et reçoivent les droits et autorisations accordés au groupe Administrateurs local, en plus du groupe Administrateurs du domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Ajuster les quotas de mémoire pour un processus
    • Permettre l’ouverture d’une session locale
    • Autoriser l’ouverture de session par les services Bureau à distance
    • Sauvegarder des fichiers et des répertoires
    • Contourner la vérification de parcours
    • Modifier l’heure système
    • Changer le fuseau horaire
    • Créer un fichier d’échange
    • Créer des objets globaux
    • Créer des liens symboliques
    • Déboguer les programmes
    • Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
    • Forcer l’arrêt à partir d’un système distant
    • Emprunter l'identité d'un client après authentification
    • Augmenter une plage de travail de processus
    • Augmenter la priorité de planification
    • Charger et décharger les pilotes de périphériques
    • Ouvrir une session en tant que tâche
    • Gérer le journal d'audit et de sécurité
    • Modifier les valeurs de l’environnement du microprogramme
    • Effectuer les tâches de maintenance de volume
    • Processus unique du profil
    • Performance système du profil
    • Retirer l’ordinateur de la station d’accueil
    • Restaurer des fichiers et des répertoires
    • Arrêter le système
    • Prendre possession de fichiers ou d’autres objets

Ordinateurs du domaine

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Toutes les stations de travail et serveurs joints au domaine sont par défaut membres de ce groupe.
  • Droits d’utilisation directs par défaut : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Contrôleurs de domaine

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Tous les contrôleurs de domaine du domaine. Remarque : les contrôleurs de domaine ne sont pas membres du groupe Ordinateurs de domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Invités du domaine

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Tous les invités du domaine
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs du domaine

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Tous les utilisateurs du domaine
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Administrateurs de l’entreprise

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité universel
  • Description et droits utilisateur par défaut : Les administrateurs d’entreprise disposent des autorisations nécessaires pour modifier les paramètres de configuration à l’échelle de la forêt ; Les administrateurs d’entreprise sont membres du groupe Administrateurs de chaque domaine et reçoivent les droits et autorisations accordés à ce groupe.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Ajuster les quotas de mémoire pour un processus
    • Permettre l’ouverture d’une session locale
    • Autoriser l’ouverture de session par les services Bureau à distance
    • Sauvegarder des fichiers et des répertoires
    • Contourner la vérification de parcours
    • Modifier l’heure système
    • Changer le fuseau horaire
    • Créer un fichier d’échange
    • Créer des objets globaux
    • Créer des liens symboliques
    • Déboguer les programmes
    • Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
    • Forcer l’arrêt à partir d’un système distant
    • Emprunter l'identité d'un client après authentification
    • Augmenter une plage de travail de processus
    • Augmenter la priorité de planification
    • Charger et décharger les pilotes de périphériques
    • Ouvrir une session en tant que tâche
    • Gérer le journal d'audit et de sécurité
    • Modifier les valeurs de l’environnement du microprogramme
    • Effectuer les tâches de maintenance de volume
    • Processus unique du profil
    • Performance système du profil
    • Retirer l’ordinateur de la station d’accueil
    • Restaurer des fichiers et des répertoires
    • Arrêter le système
    • Prendre possession de fichiers ou d’autres objets
  • Remarques : existe uniquement dans le domaine racine de forêt.

Contrôleurs de domaine d’entreprise en lecture seule

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité universel
  • Description et droits utilisateur par défaut : Ce groupe contient les comptes de tous les contrôleurs de domaine en lecture seule dans la forêt.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Lecteurs des journaux d’événements

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent lire les journaux des événements sur les contrôleurs de domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Propriétaires créateurs de la stratégie de groupe

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent créer et modifier des objets de stratégie de groupe dans le domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Invité

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, pas un groupe
  • Description et droits utilisateur par défaut : Il s’agit du seul compte dans un domaine AD DS qui n’a pas le SID d’utilisateurs authentifiés ajouté à son jeton d’accès. Par conséquent, les ressources configurées pour accorder l’accès au groupe Utilisateurs authentifiés ne seront pas accessibles à ce compte. Ce comportement n’est pas vrai pour les membres des groupes Invités et Invités de domaine, mais les membres de ces groupes ont le SID Utilisateurs authentifiés ajouté à leurs jetons d’accès.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Invités

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les invités ont le même accès que les membres du groupe Utilisateurs par défaut, à l’exception du compte Invité, qui est plus restreint comme décrit précédemment.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Administrateurs Hyper-V

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe ont un accès complet et illimité à toutes les fonctionnalités d’Hyper-V.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : Windows Server 2012 et versions ultérieures.

IIS_IUSRS

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Groupe intégré utilisé par Internet Information Services.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Générateurs d’approbation de forêt entrante

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent créer des approbations unidirectionnelle entrantes à cette forêt. (La création d’approbations de forêt sortante est réservée aux administrateurs d’entreprise.) Les membres de ce groupe peuvent créer des approbations entrantes qui autorisent la délégation TGT, ce qui peut entraîner une compromission de votre forêt. Pour en savoir plus sur la délégation TGT entre les approbations entrantes, consultez Mises à jour de la délégation TGT entre les approbations entrantes dans Windows Server.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : existe uniquement dans le domaine racine de forêt.

Krbtgt

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, pas un groupe
  • Description et droits utilisateur par défaut : Le compte Krbtgt est le compte de service du Centre de distribution de clés Kerberos dans le domaine. Ce compte a accès aux informations d’identification de tous les comptes stockés dans Active Directory. Ce compte est désactivé par défaut et ne doit jamais être activé
  • Droit d'utilisation : N/A

Opérateurs de configuration réseau

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe disposent de privilèges qui leur permettent de gérer la configuration des fonctionnalités de mise en réseau.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs du journal des performances

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent planifier la journalisation des compteurs de performances, activer les fournisseurs de suivi et collecter des traces d’événements localement et via l’accès à distance à l’ordinateur.
  • Droits d’utilisation directs :
    • Ouvrir une session en tant que tâche
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs de l’Analyseur de performances

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent accéder aux données de compteur de performances localement et à distance.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Accès compatible pré-Windows 2000

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Ce groupe existe pour la compatibilité descendante avec les systèmes d’exploitation antérieurs à Windows 2000 Server et permet aux membres de lire les informations d’utilisateur et de groupe dans le domaine.
  • Droits d’utilisation directs :
    • Accéder à cet ordinateur à partir du réseau
    • Contourner la vérification de parcours
  • Droits d’utilisation hérités :
    • Ajouter des stations de travail au domaine
    • Augmenter une plage de travail de processus
  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent administrer des imprimantes de domaine.
  • Droits d’utilisation directs :
    • Permettre l’ouverture d’une session locale
    • Charger et décharger les pilotes de périphériques
    • Arrêter le système
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Serveurs RAS et IAS

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les serveurs de ce groupe peuvent lire les propriétés d’accès à distance sur les comptes d’utilisateur du domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Serveurs de points de terminaison...

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les serveurs de ce groupe exécutent des machines virtuelles et hébergent des sessions où les utilisateurs programmes RemoteApp et bureaux virtuels personnels s’exécutent. Ce groupe doit être rempli sur des serveurs Broker pour les connexions Bureau à distance. Les serveurs hôtes de session Bureau à distance et les serveurs hôtes de virtualisation des services Bureau à distance utilisés dans le déploiement doivent être dans ce groupe.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : Windows Server 2012 et versions ultérieures.

Serveurs Gestion RDS

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les serveurs de ce groupe peuvent effectuer des actions administratives de routine sur des serveurs exécutant les services Bureau à distance. Ce groupe doit être rempli sur tous les serveurs d’un déploiement Services Bureau à distance. Les serveurs qui exécutent RDS Central Management doivent être inclus dans ce groupe.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : Windows Server 2012 et versions ultérieures.

Serveurs Accès Distant RDS

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les serveurs de ce groupe permettent aux utilisateurs des programmes RemoteApp et des bureaux virtuels personnels d’accéder à ces ressources. Dans les déploiements avec accès via Internet, ces serveurs sont généralement déployés dans un réseau de périmètre. Ce groupe doit être rempli sur des serveurs Broker pour les connexions Bureau à distance. Les serveurs Passerelle des services Bureaux à distance et les serveurs Accès Bureau à distance par le Web utilisés dans le déploiement doivent être dans ce groupe.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : Windows Server 2012 et versions ultérieures.

Contrôleurs de domaine en lecture seule

  • Conteneur par défaut, étendue de groupe et type : Conteneur d’utilisateurs, groupe de sécurité global
  • Description et droits utilisateur par défaut : Ce groupe contient tous les contrôleurs de domaine en lecture seule dans le domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs du Bureau à distance

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe ont le droit de se connecter à distance à l’aide du protocole RDP.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs de gestion à distance

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent accéder aux ressources WMI via des protocoles de gestion (par exemple, WS-Management via le service de gestion à distance Windows). Cela s’applique uniquement aux espaces de noms WMI qui accordent l’accès à l’utilisateur.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : Windows Server 2012 et versions ultérieures.

Duplicateur

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Prend en charge la réplication de fichiers héritée dans un domaine.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Administrateurs du schéma

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité universel
  • Description et droits utilisateur par défaut : Les administrateurs de schéma sont les seuls utilisateurs qui peuvent apporter des modifications au schéma Active Directory et uniquement si le schéma est activé en écriture.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : existe uniquement dans le domaine racine de forêt.

Opérateurs de serveur

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent administrer des contrôleurs de domaine.
  • Droits d’utilisation directs :
    • Permettre l’ouverture d’une session locale
    • Sauvegarder des fichiers et des répertoires
    • Modifier l’heure système
    • Changer le fuseau horaire
    • Forcer l’arrêt à partir d’un système distant
    • Restaurer des fichiers et des répertoires
    • Arrêter le système
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Serveurs de licences des services Terminal Server

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent mettre à jour des comptes d’utilisateur dans Active Directory avec des informations sur l’émission de licences, à des fins de suivi et de création de rapports sur l’utilisation de la licence d’accès client par utilisateur
  • Droits d’utilisation directs par défaut : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

Utilisateurs

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les utilisateurs disposent d’autorisations qui leur permettent de lire de nombreux objets et attributs dans Active Directory, bien qu’ils ne puissent pas changer le plus. Les utilisateurs ne peuvent pas apporter des modifications accidentelles ou intentionnelles à l’échelle du système et peuvent exécuter la plupart des applications.
  • Droits d’utilisation directs :
    • Augmenter une plage de travail de processus
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours

Groupe d’accès Windows Authorization

  • Conteneur par défaut, étendue de groupe et type : Conteneur intégré, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe ont accès à l’attribut tokenGroupsGlobalAndUniversal calculé sur les objets User
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus

WinRMRemoteWMIUsers_

  • Conteneur par défaut, étendue de groupe et type : Conteneurs d’utilisateurs, groupe de sécurité local de domaine
  • Description et droits utilisateur par défaut : Les membres de ce groupe peuvent accéder aux ressources WMI via des protocoles de gestion (par exemple, WS-Management via le service de gestion à distance Windows). Cela s’applique uniquement aux espaces de noms WMI qui accordent l’accès à l’utilisateur.
  • Droits d’utilisation directs : Aucun
  • Droits d’utilisation hérités :
    • Accéder à cet ordinateur à partir du réseau
    • Ajouter des stations de travail au domaine
    • Contourner la vérification de parcours
    • Augmenter une plage de travail de processus
  • Remarques : Windows Server 2012 et versions ultérieures.