Grup keamanan Direktori Aktif
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Pelajari tentang grup keamanan Direktori Aktif default, cakupan grup, dan fungsi grup.
Apa itu grup keamanan di Direktori Aktif?
Direktori Aktif memiliki dua bentuk prinsip keamanan umum: akun pengguna dan akun komputer. Akun-akun ini mewakili entitas fisik yang merupakan seseorang atau komputer. Akun pengguna juga dapat digunakan sebagai akun layanan khusus untuk beberapa aplikasi.
Grup keamanan adalah cara untuk mengumpulkan akun pengguna, akun komputer, dan grup lain ke dalam unit yang dapat dikelola.
Dalam sistem operasi Windows Server, beberapa akun bawaan dan grup keamanan telah dikonfigurasi sebelumnya dengan hak dan izin yang sesuai untuk melakukan tugas tertentu. Di Direktori Aktif, tanggung jawab administratif dipisahkan menjadi dua jenis administrator:
Administrator layanan: Bertanggung jawab untuk memelihara dan memberikan Active Directory Domain Services (AD DS), termasuk mengelola pengendali domain dan mengonfigurasi AD DS.
Administrator data: Bertanggung jawab untuk memelihara data yang disimpan di AD DS dan di server anggota domain dan stasiun kerja.
Cara kerja grup keamanan Direktori Aktif
Gunakan grup untuk mengumpulkan akun pengguna, akun komputer, dan grup lain ke dalam unit yang dapat dikelola. Bekerja dengan grup alih-alih dengan pengguna individual membantu Anda menyederhanakan pemeliharaan dan administrasi jaringan.
Direktori Aktif memiliki dua jenis grup:
Grup keamanan: Gunakan untuk menetapkan izin ke sumber daya bersama.
Grup distribusi: Gunakan untuk membuat daftar distribusi email.
Kelompok keamanan
Grup keamanan dapat menyediakan cara yang efisien untuk menetapkan akses ke sumber daya di jaringan Anda. Dengan menggunakan grup keamanan, Anda dapat:
Tetapkan hak pengguna ke grup keamanan di Direktori Aktif.
Tetapkan hak pengguna ke grup keamanan untuk menentukan anggota grup tersebut dalam cakupan domain atau forest. Hak pengguna secara otomatis ditetapkan ke beberapa grup keamanan saat Direktori Aktif diinstal untuk membantu administrator menentukan peran administratif seseorang di domain.
Misalnya, pengguna yang Anda tambahkan ke grup Operator Cadangan di Direktori Aktif dapat mencadangkan dan memulihkan file dan direktori yang terletak di setiap pengontrol domain di domain. Pengguna dapat menyelesaikan tindakan ini karena, secara default, hak pengguna Mencadangkan file dan direktori serta Memulihkan file dan direktori secara otomatis ditetapkan ke grup Operator Cadangan. Oleh karena itu, anggota grup ini mewarisi hak pengguna yang ditetapkan ke grup tersebut.
Anda dapat menggunakan Kebijakan Grup untuk menetapkan hak pengguna ke grup keamanan untuk mendelegasikan tugas tertentu. Untuk informasi selengkapnya tentang menggunakan Kebijakan Grup, lihat Penetapan Hak Pengguna.
Tetapkan izin ke grup keamanan untuk sumber daya.
Izin berbeda dari hak pengguna. Izin ditetapkan ke grup keamanan untuk sumber daya bersama. Izin menentukan siapa yang dapat mengakses sumber daya dan tingkat akses, seperti Kontrol penuh atau Baca. Beberapa izin yang diatur pada objek domain secara otomatis ditetapkan untuk memungkinkan berbagai tingkat akses ke grup keamanan default seperti grup Operator Akun atau grup Admin Domain.
Grup keamanan tercantum dalam Daftar Kontrol Akses Diskresi (DACL) yang menentukan izin pada sumber daya dan objek. Ketika administrator menetapkan izin untuk sumber daya seperti berbagi file atau printer, mereka harus menetapkan izin tersebut ke grup keamanan alih-alih untuk pengguna individual. Izin ditetapkan sekali ke grup alih-alih beberapa kali untuk setiap pengguna individu. Setiap akun yang ditambahkan ke grup menerima hak yang ditetapkan ke grup tersebut di Direktori Aktif. Pengguna menerima izin yang ditentukan untuk grup tersebut.
Anda dapat menggunakan grup keamanan sebagai entitas email. Mengirim pesan email ke grup keamanan mengirimkan pesan ke semua anggota grup.
Grup distribusi
Anda hanya dapat menggunakan grup distribusi untuk mengirim email ke kumpulan pengguna dengan menggunakan aplikasi email seperti Server Exchange. Grup distribusi tidak diaktifkan keamanan, sehingga Anda tidak dapat menyertakannya dalam DACL.
Cakupan grup
Setiap grup memiliki cakupan yang mengidentifikasi sejauh mana grup diterapkan di pohon domain atau forest. Cakupan grup menentukan di mana dalam izin jaringan dapat diberikan untuk grup. Direktori Aktif mendefinisikan tiga cakupan grup berikut:
Universal
Global
Domain Lokal
Catatan
Selain ketiga cakupan ini, grup default dalam kontainer Builtin memiliki cakupan grup Builtin Local. Cakupan grup dan jenis grup ini tidak dapat diubah.
Tabel berikut ini menjelaskan tiga cakupan grup dan cara kerjanya sebagai grup keamanan:
| Cakupan | Kemungkinan anggota | Konversi cakupan | Dapat memberikan izin | Kemungkinan anggota dari |
|---|---|---|---|---|
| Universal | Akun dari domain apa pun di forest yang sama Grup global dari domain apa pun di forest yang sama Grup Universal lainnya dari domain apa pun di forest yang sama |
Dapat dikonversi ke cakupan Lokal Domain jika grup bukan anggota grup Universal lainnya Dapat dikonversi ke cakupan Global jika grup tidak berisi grup Universal lainnya |
Pada domain apa pun di forest yang sama atau hutan kepercayaan | Grup Universal lainnya di forest yang sama Grup Domain Lokal di forest yang sama atau hutan kepercayaan Grup lokal di komputer di forest yang sama atau memercayai forest |
| Global | Akun dari domain yang sama Grup Global lainnya dari domain yang sama |
Dapat dikonversi ke cakupan Universal jika grup bukan anggota grup Global lainnya | Pada domain apa pun di forest yang sama, atau mempercayai domain atau forest | Grup universal dari domain apa pun di forest yang sama Grup Global lainnya dari domain yang sama Grup Domain Lokal dari domain apa pun di forest yang sama, atau dari domain tepercaya apa pun |
| Domain Lokal | Akun dari domain apa pun atau domain tepercaya apa pun Grup global dari domain apa pun atau domain tepercaya apa pun Grup universal dari domain apa pun di forest yang sama Grup Domain Lokal lainnya dari domain yang sama Akun, Grup global, dan grup Universal dari forest lain dan dari domain eksternal |
Dapat dikonversi ke cakupan Universal jika grup tidak berisi grup Domain Lokal lainnya | Dalam domain yang sama | Grup Domain Lokal lainnya dari domain yang sama Grup lokal di komputer di domain yang sama, tidak termasuk grup bawaan yang memiliki pengidentifikasi keamanan (SID) terkenal |
Grup identitas khusus
Identitas khusus disebut sebagai grup. Grup identitas khusus tidak memiliki keanggotaan tertentu yang dapat Anda ubah, tetapi mereka dapat mewakili pengguna yang berbeda pada waktu yang berbeda tergantung pada keadaan. Beberapa grup ini termasuk Pemilik Pembuat, Batch, dan Pengguna Terautentikasi.
Untuk informasi selengkapnya, lihat Grup identitas khusus.
Grup keamanan default
Grup default seperti grup Admin Domain adalah grup keamanan yang dibuat secara otomatis saat Anda membuat domain Direktori Aktif. Anda dapat menggunakan grup yang telah ditentukan sebelumnya ini untuk membantu mengontrol akses ke sumber daya bersama dan untuk mendelegasikan peran administratif di seluruh domain tertentu.
Banyak grup default secara otomatis diberi sekumpulan hak pengguna yang mengotorisasi anggota grup untuk melakukan tindakan tertentu di domain, seperti masuk ke sistem lokal atau mencadangkan file dan folder. Misalnya, anggota grup Operator Cadangan dapat melakukan operasi pencadangan untuk semua pengendali domain di domain.
Saat Anda menambahkan pengguna ke grup, pengguna menerima semua hak pengguna yang ditetapkan ke grup, termasuk semua izin yang ditetapkan ke grup untuk sumber daya bersama apa pun.
Grup default terletak di kontainer Bawaan dan dalam kontainer Pengguna di Pengguna direktori aktif dan Komputer. Kontainer Bawaan menyertakan grup yang ditentukan dengan cakupan Domain Lokal. Kontainer Pengguna menyertakan grup yang didefinisikan dengan Cakupan global dan grup yang ditentukan dengan cakupan Domain Lokal. Anda dapat memindahkan grup yang terletak di kontainer ini ke grup lain atau unit organisasi dalam domain, tetapi Anda tidak dapat memindahkannya ke domain lain.
Beberapa grup administratif yang tercantum dalam artikel ini dan semua anggota grup ini dilindungi oleh proses latar belakang yang secara berkala memeriksa dan menerapkan pendeskripsi keamanan tertentu. Deskriptor ini adalah struktur data yang berisi informasi keamanan yang terkait dengan objek yang dilindungi. Proses ini memastikan bahwa upaya tidak sah yang berhasil untuk mengubah deskriptor keamanan pada salah satu akun atau grup administratif ditimpa dengan pengaturan yang dilindungi.
Deskriptor keamanan ada di objek AdminSDHolder. Jika Anda ingin mengubah izin pada salah satu grup administrator layanan atau di salah satu akun anggotanya, Anda harus mengubah pendeskripsi keamanan pada objek AdminSDHolder sehingga diterapkan secara konsisten. Berhati-hatilah saat Anda melakukan modifikasi ini karena Anda juga mengubah pengaturan default yang diterapkan ke semua akun administratif yang dilindungi.
Grup keamanan Direktori Aktif Default
Daftar berikut ini menyediakan deskripsi grup default yang terletak di kontainer Bawaan dan Pengguna di Direktori Aktif:
- Operator Bantuan Kontrol Akses
- Operator Akun
- Administrator
- Replikasi Kata Sandi RODC yang Diizinkan
- Operator Pencadangan
- Akses DCOM Layanan Sertifikat
- Penerbit Sertifikasi
- Pengontrol Domain yang Dapat Dikloning
- Operator Kriptografi
- Replikasi Kata Sandi RODC Yang Ditolak
- Pemilik Perangkat
- Administrator DHCP
- Pengguna DHCP
- Pengguna COM Terdistribusi
- DnsUpdateProxy
- DnsAdmins
- Admin Domain
- Komputer Domain
- Pengendali Domain
- Tamu Domain
- Pengguna Domain
- Admin Perusahaan
- Admin Kunci Perusahaan
- Pengendali Domain Baca-saja Perusahaan
- Pembaca Log Peristiwa
- Pemilik Pembuat Kebijakan Grup
- Tamu
- Administrator Hyper-V
- IIS_IUSRS
- Pembangun Kepercayaan Hutan Masuk
- Admin Kunci
- Operator Konfigurasi Jaringan
- Pengguna Log Performa
- Pengguna Monitor Performa
- Akses Yang Kompatibel Pra-Windows 2000
- Operator Cetak
- Pengguna yang Dilindungi
- Server RAS dan IAS
- Server Titik Akhir RDS
- Server Manajemen RDS
- Server Akses Jarak Jauh RDS
- Pengontrol Domain Baca-saja
- Pengguna Desktop Jauh
- Pengguna Manajemen Jarak Jauh
- Replikator
- Admin Skema
- Operator Server
- Administrator Replika Penyimpanan
- Akun Terkelola Sistem
- Server Lisensi Server Terminal
- Pengguna
- Akses Otorisasi Windows
- WinRMRemoteWMIUsers_
Operator Bantuan Access Control
Anggota grup ini dapat mengkueri atribut dan izin otorisasi dari jarak jauh untuk sumber daya di komputer.
Grup Operator Bantuan Kontrol Akses berlaku untuk sistem operasi Windows Server yang tercantum dalam tabel grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-579 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Operator Akun
Grup Operator Akun memberikan hak istimewa pembuatan akun terbatas kepada pengguna. Anggota grup ini dapat membuat dan memodifikasi sebagian besar jenis akun, termasuk akun untuk pengguna, Grup lokal, dan grup Global. Anggota grup dapat masuk secara lokal ke pengontrol domain.
Anggota grup Operator Akun tidak dapat mengelola akun pengguna Administrator, akun pengguna administrator, atau administrator, Operator Server, Operator Akun, Operator Cadangan, atau grup Operator Cetak. Anggota grup ini tidak dapat mengubah hak pengguna.
Grup Operator Akun berlaku untuk sistem operasi Windows Server dalam daftar grup keamanan Direktori Aktif Default.
Catatan
Secara default, grup bawaan ini tidak memiliki anggota. Grup dapat membuat dan mengelola pengguna dan grup di domain, termasuk keanggotaannya sendiri dan grup Operator Server. Grup ini dianggap sebagai grup administrator layanan karena dapat mengubah Operator Server, yang pada gilirannya dapat mengubah pengaturan pengendali domain. Sebagai praktik terbaik, biarkan keanggotaan grup ini kosong, dan jangan gunakan untuk administrasi yang didelegasikan. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-548 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Izinkan log masuk secara lokal: SeInteractiveLogonRight |
Administrator
Anggota grup Administrator memiliki akses lengkap dan tidak terbatas ke komputer. Jika komputer dipromosikan ke pengendali domain, anggota grup Administrator memiliki akses tidak terbatas ke domain.
Grup Administrator berlaku untuk sistem operasi Windows Server di daftar grup keamanan Direktori Aktif Default.
Catatan
Grup Administrator memiliki kemampuan bawaan yang memberi anggotanya kontrol penuh atas sistem. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus. Grup bawaan ini mengontrol akses ke semua pengendali domain di domainnya, dan dapat mengubah keanggotaan semua grup administratif. Anggota grup berikut dapat mengubah keanggotaan grup Administrator: Administrator layanan default, Admin Domain di domain, dan Admin Perusahaan. Grup ini memiliki hak istimewa khusus untuk mengambil kepemilikan objek apa pun di direktori atau sumber daya apa pun pada pengendali domain. Akun ini dianggap sebagai grup administrator layanan karena anggotanya memiliki akses penuh ke pengendali domain di domain.
Grup keamanan ini mencakup perubahan berikut sejak Windows Server 2008:
Perubahan hak pengguna default: Izinkan masuk melalui Layanan Terminal ada di Windows Server 2008, dan digantikan oleh Izinkan masuk melalui Layanan Desktop Jarak Jauh.
Hapus komputer dari stasiun dok dihapus di Windows Server 2012 R2.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-544 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Administrator, Admin Domain, Admin Perusahaan |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Menyesuaikan kuota memori untuk proses: SeIncreaseQuotaPrivilege Akses komputer ini dari jaringan: SeNetworkLogonRight Izinkan log masuk secara lokal: SeInteractiveLogonRight Izinkan masuk melalui Layanan Desktop Jarak Jauh: SeRemoteInteractiveLogonRight Mencadangkan file dan direktori: SeBackupPrivilege Melewati pemeriksaan melintasi: SeChangeNotifyPrivilege Mengubah waktu sistem: SeSystemTimePrivilege Mengubah zona waktu: SeTimeZonePrivilege Membuat pagefile: SeCreatePagefilePrivilege Membuat objek global: SeCreateGlobalPrivilege Membuat tautan simbolis: SeCreateSymbolicLinkPrivilege Program debug: SeDebugPrivilege Mengaktifkan akun komputer dan pengguna untuk dipercaya untuk delegasi: SeEnableDelegationPrivilege Mematikan paksa dari sistem jarak jauh: SeRemoteShutdownPrivilege Meniru klien setelah autentikasi: SeImpersonatePrivilege Meningkatkan prioritas penjadwalan: SeIncreaseBasePriorityPrivilege Memuat dan membongkar driver perangkat: SeLoadDriverPrivilege Masuk sebagai pekerjaan batch: SeBatchLogonRight Mengelola audit dan log keamanan: SeSecurityPrivilege Mengubah nilai lingkungan firmware: SeSystemEnvironmentPrivilege Melakukan tugas pemeliharaan volume: SeManageVolumePrivilege Performa sistem profil: SeSystemProfilePrivilege Proses tunggal profil: SeProfileSingleProcessPrivilege Menghapus komputer dari stasiun dok: SeUndockPrivilege Memulihkan file dan direktori: SeRestorePrivilege Matikan sistem: SeShutdownPrivilege Ambil kepemilikan file atau objek lain: SeTakeOwnershipPrivilege |
Replikasi Kata Sandi RODC yang Diizinkan
Tujuan dari grup keamanan ini adalah untuk mengelola kebijakan replikasi kata sandi pengontrol domain baca-saja (RODC). Grup ini tidak memiliki anggota secara default, dan menghasilkan kondisi bahwa RODC baru tidak menyimpan kredensial pengguna. Grup Replikasi Kata Sandi RODC yang Ditolak berisi berbagai akun hak istimewa tinggi dan grup keamanan. Grup Replikasi Kata Sandi RODC yang Ditolak menggantikan grup Replikasi Kata Sandi RODC yang Diizinkan.
Grup Replikasi Kata Sandi RODC yang Diizinkan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-571<> |
| Jenis | Lokal domain |
| Kontainer default | CN=Users DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Operator Azure Backup
Anggota grup Operator Cadangan dapat mencadangkan dan memulihkan semua file di komputer, terlepas dari izin yang melindungi file tersebut. Operator Cadangan juga dapat masuk dan mematikan komputer. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus. Secara default, grup bawaan ini tidak memiliki anggota, dan dapat melakukan operasi pencadangan dan pemulihan pada pengendali domain. Anggota grup berikut dapat mengubah keanggotaan grup Operator Cadangan: Administrator layanan default, Admin Domain di domain, dan Admin Perusahaan. Anggota grup Operator Cadangan tidak dapat mengubah keanggotaan grup administratif apa pun. Meskipun anggota grup ini tidak dapat mengubah pengaturan server atau mengubah konfigurasi direktori, mereka memiliki izin yang diperlukan untuk mengganti file (termasuk file sistem operasi) pada pengendali domain. Karena anggota grup ini dapat menggantikan file pada pengendali domain, mereka dianggap sebagai administrator layanan.
Grup Operator Cadangan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-551 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Izinkan log masuk secara lokal: SeInteractiveLogonRight Mencadangkan file dan direktori: SeBackupPrivilege Masuk sebagai pekerjaan batch: SeBatchLogonRight Memulihkan file dan direktori: SeRestorePrivilege Matikan sistem: SeShutdownPrivilege |
Akses DCOM Layanan Sertifikat
Anggota grup ini dapat terhubung ke otoritas sertifikasi di perusahaan.
Grup Akses DCOM Layanan Sertifikat berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-domain-574<> |
| Jenis | Domain Lokal |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Penerbit Sertifikat
Anggota grup Penerbit Cert berwenang untuk menerbitkan sertifikat untuk objek Pengguna di Direktori Aktif.
Grup Penerbit Cert berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-517<> |
| Jenis | Domain Lokal |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Replikasi Kata Sandi RODC Yang Ditolak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Pengontrol Domain yang Dapat Dikloning
Anggota grup Pengontrol Domain yang Dapat Dikloning yang merupakan pengendali domain dapat dikloning. Di Windows Server 2012 R2 dan Windows Server 2012, Anda dapat menyebarkan pengendali domain dengan menyalin pengontrol domain virtual yang ada. Di lingkungan virtual, Anda tidak lagi harus berulang kali menyebarkan gambar server yang disiapkan dengan menggunakan Sysprep.exe, mempromosikan server ke pengendali domain, lalu menyelesaikan lebih banyak persyaratan konfigurasi untuk menyebarkan setiap pengontrol domain (termasuk menambahkan pengontrol domain virtual ke grup keamanan ini).
Untuk informasi selengkapnya, lihat Pengenalan Virtualisasi Active Directory Domain Services (AD DS) (Tingkat 100).
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-522<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Operator Kriptografi
Anggota grup ini berwenang untuk melakukan operasi kriptografi. Grup keamanan ini ditambahkan dalam Windows Vista Service Pack 1 (SP1) untuk mengonfigurasi Windows Firewall untuk IPsec dalam mode Kriteria Umum.
Grup Operator Kriptografi berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
Grup keamanan ini diperkenalkan di Windows Vista SP1, dan tidak berubah dalam versi berikutnya.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-569 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Replikasi Kata Sandi RODC Yang Ditolak
Kata sandi anggota grup Replikasi Kata Sandi RODC yang Ditolak tidak dapat direplikasi ke RODC apa pun.
Tujuan dari grup keamanan ini adalah untuk mengelola kebijakan replikasi kata sandi RODC. Grup ini berisi berbagai akun hak istimewa tinggi dan grup keamanan. Grup Replikasi Kata Sandi RODC yang Ditolak menggantikan grup Replikasi Kata Sandi RODC yang Diizinkan.
Grup keamanan ini mencakup perubahan berikut sejak Windows Server 2008:
- Windows Server 2012 mengubah anggota default untuk menyertakan Penerbit Cert.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-572<> |
| Jenis | Lokal domain |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Penerbit Sertifikasi |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Pemilik Perangkat
Saat grup Pemilik Perangkat tidak memiliki anggota, kami sarankan Anda tidak mengubah konfigurasi default untuk grup keamanan ini. Mengubah konfigurasi default mungkin menghambat skenario mendatang yang mengandalkan grup ini. Grup Pemilik Perangkat saat ini tidak digunakan di Windows.
Grup Pemilik Perangkat berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-583 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Anda dapat memindahkan grup, tetapi kami tidak merekomendasikannya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Izinkan log masuk secara lokal: SeInteractiveLogonRight Akses komputer ini dari jaringan: SeNetworkLogonRight Melewati pemeriksaan melintasi: SeChangeNotifyPrivilege Mengubah zona waktu: SeTimeZonePrivilege |
Administrator DHCP
Anggota grup Administrator DHCP dapat membuat, menghapus, dan mengelola area yang berbeda dari cakupan server, termasuk hak untuk mencadangkan dan memulihkan database Dynamic Host Configuration Protocol (DHCP). Meskipun grup ini memiliki hak administratif, grup ini bukan bagian dari grup Administrator karena peran ini terbatas pada layanan DHCP.
Grup Administrator DHCP berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | Domain S-1-5-21<> |
| Jenis | Domain Lokal |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Pengguna |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Anda dapat memindahkan grup, tetapi kami tidak merekomendasikannya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Pengguna DHCP
Anggota grup Pengguna DHCP dapat melihat cakupan mana yang aktif atau tidak aktif, melihat alamat IP mana yang ditetapkan, dan melihat masalah konektivitas jika server DHCP tidak dikonfigurasi dengan benar. Grup ini terbatas pada akses baca-saja ke server DHCP.
Grup Pengguna DHCP berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | Domain S-1-5-21<> |
| Jenis | Domain Lokal |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Pengguna |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Anda dapat memindahkan grup, tetapi kami tidak merekomendasikannya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Pengguna COM Terdistribusi
Anggota grup Pengguna COM Terdistribusi dapat meluncurkan, mengaktifkan, dan menggunakan objek COM Terdistribusi di komputer. Microsoft Component Object Model (COM) adalah sistem yang independen, terdistribusi, dan berorientasi objek platform untuk membuat komponen perangkat lunak biner yang dapat berinteraksi. Model Objek Komponen Terdistribusi (DCOM) memungkinkan aplikasi didistribusikan di seluruh lokasi yang paling masuk akal bagi Anda dan ke aplikasi. Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (juga disebut operasi master tunggal fleksibel atau FSMO).
Grup Pengguna COM Terdistribusi berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-562 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
DnsUpdateProxy
Anggota grup DnsUpdateProxy adalah klien DNS. Mereka diizinkan untuk melakukan pembaruan dinamis atas nama klien lain, seperti untuk server DHCP. Server DNS dapat mengembangkan catatan sumber daya kedaluarsa ketika server DHCP dikonfigurasi untuk mendaftarkan catatan sumber daya host (A) dan pointer (PTR) secara dinamis atas nama klien DHCP dengan menggunakan pembaruan dinamis. Menambahkan klien ke kelompok keamanan ini mengurangi skenario ini.
Namun, untuk melindungi dari rekaman yang tidak aman atau mengizinkan anggota grup DnsUpdateProxy mendaftarkan rekaman di zona yang hanya mengizinkan pembaruan dinamis yang aman, Anda harus membuat akun pengguna khusus dan mengonfigurasi server DHCP untuk melakukan pembaruan dinamis DNS dengan menggunakan kredensial (nama pengguna, kata sandi, dan domain) akun ini. Beberapa server DHCP dapat menggunakan kredensial dari satu akun pengguna khusus. Grup ini hanya ada jika peran server DNS adalah atau pernah diinstal pada pengendali domain di domain.
Untuk informasi selengkapnya, lihat Kepemilikan rekaman DNS dan grup DnsUpdateProxy.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-variable<>< RI> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
DnsAdmins
Anggota grup DnsAdmins memiliki akses ke informasi DNS jaringan. Izin defaultnya adalah Izinkan: Baca, Tulis, Buat Semua objek Turunan, Hapus objek Turunan, Izin Khusus. Grup ini hanya ada jika peran server DNS adalah atau pernah diinstal pada pengendali domain di domain.
Untuk informasi selengkapnya tentang keamanan dan DNS, lihat DNSSEC di Windows Server 2012.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-variable<>< RI> |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Admin Domain
Anggota grup keamanan Admin Domain berwenang untuk mengelola domain. Secara default, grup Admin Domain adalah anggota grup Administrator di semua komputer yang telah bergabung dengan domain, termasuk pengendali domain. Grup Admin Domain adalah pemilik default objek apa pun yang dibuat di Direktori Aktif untuk domain oleh anggota grup mana pun. Jika anggota grup membuat objek lain, seperti file, pemilik default adalah grup Administrator.
Grup Admin Domain mengontrol akses ke semua pengendali domain di domain, dan dapat mengubah keanggotaan semua akun administratif di domain. Anggota grup administrator layanan di domainnya (Administrator dan Admin Domain) dan anggota grup Admin Perusahaan dapat mengubah keanggotaan Admin Domain. Grup ini dianggap sebagai akun administrator layanan karena anggotanya memiliki akses penuh ke pengendali domain di domain.
Grup Admin Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-512<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Administrator |
| Anggota default dari | Administrator |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Lihat Administrator |
Komputer Domain
Grup ini dapat mencakup semua komputer dan server yang telah bergabung dengan domain, tidak termasuk pengontrol domain. Secara default, akun komputer apa pun yang dibuat secara otomatis menjadi anggota grup ini.
Grup Komputer Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-515<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Semua komputer bergabung ke domain, tidak termasuk pengontrol domain |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya (tetapi tidak diperlukan) |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | Ya |
| Hak pengguna default | Tidak |
Pengendali domain
Grup Pengendali Domain dapat menyertakan semua pengontrol domain di domain. Pengendali domain baru secara otomatis ditambahkan ke grup ini.
Grup Pengendali Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-516<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Akun komputer untuk semua pengendali domain domain |
| Anggota default dari | Replikasi Kata Sandi RODC Yang Ditolak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | No |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Tamu Domain
Grup Tamu Domain menyertakan akun Tamu bawaan domain. Ketika anggota grup ini masuk sebagai tamu lokal di komputer yang bergabung dengan domain, profil domain dibuat di komputer lokal.
Grup Tamu Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-514<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tamu |
| Anggota default dari | Tamu |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Anda dapat memindahkan grup, tetapi kami tidak merekomendasikannya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Lihat Tamu |
Pengguna Domain
Grup Pengguna Domain menyertakan semua akun pengguna dalam domain. Saat Anda membuat akun pengguna di domain, akun tersebut secara otomatis ditambahkan ke grup ini.
Secara default, akun pengguna apa pun yang dibuat di domain secara otomatis menjadi anggota grup ini. Anda dapat menggunakan grup ini untuk mewakili semua pengguna di domain. Misalnya, jika Anda ingin semua pengguna domain memiliki akses ke printer, Anda dapat menetapkan izin untuk printer ke grup ini atau menambahkan grup Pengguna Domain ke grup Lokal pada server cetak yang memiliki izin untuk pencetak.
Grup Pengguna Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-513<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Administrator |
| krbtgt | |
| Anggota default dari | Pengguna |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Lihat Pengguna |
Admin Perusahaan
Grup Admin Perusahaan hanya ada di domain akar dari forest domain Direktori Aktif. Grup adalah grup Universal jika domain berada dalam mode asli. Grup adalah grup Global jika domain berada dalam mode campuran. Anggota grup ini berwenang untuk membuat perubahan di seluruh hutan di Active Directory, seperti menambahkan domain anak.
Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest. Grup ini secara otomatis ditambahkan ke grup Administrator di setiap domain di forest, dan menyediakan akses lengkap untuk mengonfigurasi semua pengontrol domain. Anggota dalam grup ini dapat memodifikasi keanggotaan semua grup administratif. Anggota grup administrator layanan default di domain akar dapat mengubah keanggotaan Admin Perusahaan. Grup ini dianggap sebagai akun administrator layanan.
Grup Admin Perusahaan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-root< domain-519> |
| Jenis | Universal jika domain dalam mode asli; jika tidak, Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Administrator |
| Anggota default dari | Administrator |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Lihat Administrator |
Admin Kunci Perusahaan
Anggota grup ini dapat melakukan tindakan administratif pada objek kunci di dalam forest.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-527<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Pengendali Domain Baca-saja Perusahaan
Anggota grup ini adalah RODC di perusahaan. Kecuali untuk kata sandi akun, RODC menyimpan semua objek dan atribut Direktori Aktif yang disimpan oleh pengontrol domain bisa-tulis. Namun, perubahan tidak dapat dilakukan pada database yang disimpan di RODC. Perubahan harus dilakukan pada pengontrol domain bisa-tulis lalu direplikasi ke RODC.
RODC mengatasi beberapa masalah yang umumnya ditemukan di kantor cabang. Lokasi ini mungkin tidak memiliki pengendali domain, atau mungkin memiliki pengontrol domain yang dapat ditulis tetapi bukan keamanan fisik, bandwidth jaringan, atau keahlian lokal untuk mendukungnya.
Untuk informasi selengkapnya, lihat Apa itu pengontrol domain baca-saja?
Grup Pengendali Domain Baca-saja Perusahaan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-root< domain-498> |
| Jenis | Universal |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Pembaca Log Peristiwa
Anggota grup ini dapat membaca log peristiwa dari komputer lokal. Grup dibuat ketika server dipromosikan ke pengendali domain.
Grup Pembaca Log Peristiwa berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-573 |
| Jenis | Domain Lokal |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Pemilik Pembuat Kebijakan Grup
Grup ini berwenang untuk membuat, mengedit, dan menghapus Objek Kebijakan Grup di domain. Secara default, satu-satunya anggota grup adalah Administrator.
Untuk informasi tentang fitur lain yang bisa Anda gunakan dengan grup keamanan ini, lihat Gambaran umum Kebijakan Grup.
Grup Pemilik Pembuat Kebijakan Grup berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-520<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Administrator |
| Anggota default dari | Replikasi Kata Sandi RODC Yang Ditolak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | No |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Lihat Replikasi Kata Sandi RODC yang Ditolak |
Tamu
Anggota grup Tamu memiliki akses yang sama dengan anggota grup Pengguna secara default, kecuali bahwa akun Tamu memiliki batasan lebih lanjut. Secara default, satu-satunya anggota adalah akun Tamu. Grup Tamu memungkinkan pengguna sesekali atau satu kali untuk masuk dengan hak istimewa terbatas ke akun Tamu bawaan komputer.
Saat anggota grup Tamu keluar, seluruh profil akan dihapus. Penghapusan profil mencakup semua yang disimpan di direktori %userprofile% , termasuk informasi sarang registri pengguna, ikon desktop kustom, dan pengaturan khusus pengguna lainnya. Fakta ini menyiratkan bahwa tamu harus menggunakan profil sementara untuk masuk ke sistem. Grup keamanan ini berinteraksi dengan pengaturan Kebijakan Grup. Saat grup keamanan ini diaktifkan, jangan masuk ke pengguna yang memiliki profil sementara. Untuk mengakses pengaturan ini, buka Profil Pengguna Sistem>Templat>Administratif Konfigurasi>Komputer.
Catatan
Akun Tamu adalah anggota default grup keamanan Tamu. Orang yang tidak memiliki akun aktual di domain dapat menggunakan akun Tamu. Pengguna yang akunnya dinonaktifkan (tetapi tidak dihapus) juga dapat menggunakan akun Tamu. Akun Tamu tidak memerlukan kata sandi. Anda dapat mengatur hak dan izin untuk akun Tamu seperti di akun pengguna mana pun. Secara default, akun Tamu adalah anggota grup Tamu bawaan dan grup Global Tamu Domain, yang memungkinkan pengguna untuk masuk ke domain. Akun Tamu dinonaktifkan secara default, dan kami sarankan akun tersebut tetap dinonaktifkan.
Grup Tamu berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-546 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tamu Domain |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Administrator Hyper-V
Anggota grup Administrator Hyper-V memiliki akses lengkap dan tidak terbatas ke semua fitur di Hyper-V. Menambahkan anggota ke grup ini membantu mengurangi jumlah anggota yang diperlukan dalam grup Administrator dan memisahkan akses lebih lanjut.
Catatan
Sebelum Windows Server 2012, akses ke fitur di Hyper-V dikontrol sebagian oleh keanggotaan di grup Administrator.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-578 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
IIS_IUSRS
IIS_IUSRS adalah grup bawaan yang digunakan oleh Layanan Informasi Internet (IIS) yang dimulai dengan IIS 7. Akun dan grup bawaan dijamin oleh sistem operasi untuk selalu memiliki SID yang unik. IIS 7 menggantikan akun IUSR_MachineName dan grup IIS_WPG dengan grup IIS_IUSRS untuk memastikan bahwa nama aktual yang digunakan akun dan grup baru tidak pernah dilokalkan. Misalnya, terlepas dari bahasa sistem operasi Windows yang Anda instal, nama akun IIS akan selalu IUSR, dan nama grup akan IIS_IUSRS.
Untuk informasi selengkapnya, lihat Memahami akun pengguna dan grup bawaan di IIS 7.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-568 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | IUSR |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Pembangun Kepercayaan Hutan Masuk
Anggota grup Pembangun Kepercayaan Hutan Masuk dapat membuat kepercayaan satu arah yang masuk ke forest ini. Direktori Aktif menyediakan keamanan di beberapa domain atau forest melalui hubungan kepercayaan domain dan hutan. Sebelum autentikasi dapat terjadi di seluruh kepercayaan, Windows harus menentukan apakah domain yang diminta oleh pengguna, komputer, atau layanan memiliki hubungan kepercayaan dengan domain masuk akun yang meminta.
Untuk membuat penentuan ini, sistem keamanan Windows menghitung jalur kepercayaan antara pengendali domain untuk server yang menerima permintaan dan pengendali domain di domain akun yang meminta. Saluran aman meluas ke domain Direktori Aktif lainnya melalui hubungan kepercayaan antardomain. Saluran aman ini digunakan untuk mendapatkan dan memverifikasi informasi keamanan, termasuk SID untuk pengguna dan grup.
Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
Untuk informasi selengkapnya, lihat Cara kerja kepercayaan domain dan hutan: Kepercayaan domain dan hutan.
Grup Penyusun Kepercayaan Hutan Masuk berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-557 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Admin Kunci
Anggota grup ini dapat melakukan tindakan administratif pada objek kunci dalam domain.
Grup Admin Kunci berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-526<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Operator Konfigurasi Jaringan
Anggota grup Operator Konfigurasi Jaringan dapat memiliki hak administratif berikut untuk mengelola konfigurasi fitur jaringan:
Ubah properti Protokol Kontrol Transmisi/Protokol Internet (TCP/IP) untuk koneksi jaringan area lokal (LAN), yang mencakup alamat IP, subnet mask, gateway default, dan server nama.
Ganti nama koneksi LAN atau koneksi akses jarak jauh yang tersedia untuk semua pengguna.
Mengaktifkan atau menonaktifkan koneksi LAN.
Ubah properti semua koneksi akses jarak jauh pengguna.
Hapus semua koneksi akses jarak jauh pengguna.
Ganti nama semua koneksi akses jarak jauh pengguna.
Masalah
ipconfig,ipconfig /release, danipconfig /renewperintah.Masukkan kunci buka blokir PIN (PUK) untuk perangkat broadband seluler yang mendukung kartu SIM.
Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
Grup Operator Konfigurasi Jaringan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-556 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | Ya |
| Hak pengguna default | Tidak |
Pengguna Log Performa
Anggota grup Pengguna Log Performa dapat mengelola penghitung kinerja, log, dan pemberitahuan secara lokal di server dan dari klien jarak jauh tanpa menjadi anggota grup Administrator. Secara khusus, anggota kelompok keamanan ini:
Dapat menggunakan semua fitur yang tersedia untuk grup Pengguna Monitor Performa.
Dapat membuat dan memodifikasi Himpunan Pengumpul Data setelah grup ditetapkan sebagai hak pengguna pekerjaan batch.
Peringatan
Jika Anda adalah anggota grup Pengguna Log Performa, Anda harus mengonfigurasi Kumpulan Pengumpul Data yang Anda buat untuk dijalankan di bawah kredensial Anda.
Catatan
Di Windows Server 2016 dan yang lebih baru, anggota grup Pengguna Log Performa tidak dapat membuat Kumpulan Pengumpul Data. Jika anggota grup Pengguna Log Performa mencoba membuat Himpunan Pengumpul Data, mereka tidak dapat menyelesaikan tindakan karena akses ditolak.
Tidak dapat menggunakan penyedia peristiwa Windows Kernel Trace di Himpunan Pengumpul Data.
Bagi anggota grup Pengguna Log Performa untuk memulai pengelogan data atau memodifikasi Himpunan Pengumpul Data, grup harus terlebih dahulu diberi hak masuk sebagai pengguna pekerjaan batch. Untuk menetapkan hak pengguna ini, gunakan snap-in Kebijakan Keamanan Lokal di Microsoft Management Console (MMC).
Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Akun ini tidak dapat diganti namanya, dihapus, atau dipindahkan.
Grup Pengguna Log Performa berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-559 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | Ya |
| Hak pengguna default | Masuk sebagai pekerjaan batch: SeBatchLogonRight |
Pengguna Pemantau Performa
Anggota grup ini dapat memantau penghitung kinerja pada pengendali domain di domain, secara lokal dan dari klien jarak jauh, tanpa menjadi anggota grup Administrator atau Pengguna Log Performa. Windows Performance Monitor adalah snap-in MMC yang menyediakan alat untuk menganalisis performa sistem. Dari satu konsol, Anda dapat memantau performa aplikasi dan perangkat keras, menyesuaikan data apa yang ingin Anda kumpulkan dalam log, menentukan ambang batas untuk pemberitahuan dan tindakan otomatis, menghasilkan laporan, dan melihat data performa sebelumnya dengan berbagai cara.
Secara khusus, anggota kelompok keamanan ini:
Dapat menggunakan semua fitur yang tersedia untuk grup Pengguna.
Dapat melihat data performa real time di Monitor Performa.
Dapat mengubah properti tampilan Monitor Performa saat menampilkan data.
Tidak dapat membuat atau mengubah Himpunan Pengumpul Data.
Peringatan
Anggota grup Pengguna Monitor Performa tidak dapat mengonfigurasi Himpunan Pengumpulan Data.
Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
Grup Pengguna Monitor Performa berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-558 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | Ya |
| Hak pengguna default | Tidak |
Akses Yang Kompatibel Pra-Windows 2000
Anggota grup Akses Yang Kompatibel Pra-Windows 2000 memiliki akses Baca untuk semua pengguna dan grup di domain. Grup ini disediakan untuk kompatibilitas mundur untuk komputer yang menjalankan Windows NT 4.0 dan yang lebih lama. Secara default, grup identitas khusus Semua Orang adalah anggota grup ini. Tambahkan pengguna ke grup ini hanya jika mereka menjalankan Windows NT 4.0 atau yang lebih lama.
Peringatan
Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO).
Grup Akses Kompatibel Pra-Windows 2000 berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-554 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Jika Anda memilih mode Izin Yang Kompatibel Pra-Windows 2000, Semua Orang dan Anonim adalah anggota. Jika Anda memilih mode izin khusus Windows 2000, Pengguna terautentikasi adalah anggota. |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Akses komputer ini dari jaringan: SeNetworkLogonRight Melewati pemeriksaan melintasi: SeChangeNotifyPrivilege |
Operator Cetak
Anggota grup ini dapat mengelola, membuat, berbagi, dan menghapus printer yang tersambung ke pengendali domain di domain. Mereka juga dapat mengelola objek printer Direktori Aktif di domain. Anggota grup ini dapat masuk secara lokal dan mematikan pengontrol domain di domain.
Grup ini tidak memiliki anggota default. Karena anggota grup ini dapat memuat dan membongkar driver perangkat pada semua pengendali domain di domain, tambahkan pengguna dengan hati-hati. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
Grup Operator Cetak berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
Untuk informasi selengkapnya, lihat Menetapkan administrator cetak yang didelegasikan dan pengaturan izin printer di Windows Server 2012.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-550 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Izinkan log masuk secara lokal: SeInteractiveLogonRight Memuat dan membongkar driver perangkat: SeLoadDriverPrivilege Matikan sistem: SeShutdownPrivilege |
Pengguna yang Dilindungi
Anggota grup Pengguna Yang Dilindungi memiliki perlindungan ekstra terhadap penyusupan kredensial selama proses autentikasi.
Kelompok keamanan ini dirancang sebagai bagian dari strategi untuk melindungi dan mengelola kredensial secara efektif dalam perusahaan. Anggota grup ini secara otomatis memiliki perlindungan yang tidak dapat dikonfigurasi yang diterapkan ke akun mereka. Keanggotaan dalam grup Pengguna Yang Dilindungi dimaksudkan untuk menjadi ketat dan secara proaktif diamankan secara default. Satu-satunya cara Anda dapat mengubah perlindungan untuk akun adalah menghapus akun dari grup keamanan.
Grup Global terkait domain ini memicu perlindungan yang tidak dapat dikonfigurasi pada perangkat dan komputer host, dimulai dengan sistem operasi Windows Server 2012 R2 dan Windows 8.1. Ini juga memicu perlindungan yang tidak dapat dikonfigurasi pada pengendali domain di domain yang memiliki pengendali domain utama yang menjalankan Windows Server 2016 atau Windows Server 2012 R2. Perlindungan ini sangat mengurangi jejak memori kredensial ketika pengguna masuk ke komputer di jaringan dari komputer yang tidak disusupi.
Bergantung pada tingkat fungsional domain akun, anggota grup Pengguna Terproteksi dilindungi lebih lanjut karena perubahan perilaku dalam metode autentikasi yang didukung di Windows:
Anggota grup Pengguna Terproteksi tidak dapat mengautentikasi dengan menggunakan Penyedia Dukungan Keamanan (SSP) berikut: NTLM, Autentikasi Hash, atau CredSSP. Kata sandi tidak di-cache pada perangkat yang menjalankan Windows 10 atau Windows 8.1, sehingga perangkat gagal mengautentikasi ke domain ketika akun adalah anggota grup Pengguna yang Dilindungi.
Protokol Kerberos tidak akan menggunakan jenis enkripsi DES atau RC4 yang lebih lemah dalam proses praauthentication. Domain harus dikonfigurasi untuk mendukung setidaknya rangkaian sandi AES.
Akun pengguna tidak dapat didelegasikan dengan delegasi kerberos yang dibatasi atau tidak dibatasi. Jika pengguna adalah anggota grup Pengguna Yang Dilindungi, koneksi sebelumnya ke sistem lain mungkin gagal.
Anda dapat mengubah pengaturan masa pakai tiket pemberian tiket (TGT) Kerberos default selama empat jam dengan menggunakan Kebijakan Autentikasi dan Silo di Pusat Administratif Direktori Aktif. Dalam pengaturan default, ketika empat jam telah berlalu, pengguna harus mengautentikasi lagi.
Grup Pengguna Terproteksi berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
Grup ini diperkenalkan di Windows Server 2012 R2. Untuk informasi selengkapnya tentang cara kerja grup ini, lihat Grup keamanan Pengguna Terproteksi.
Tabel berikut ini menentukan properti grup Pengguna Terproteksi:
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-525<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Server RAS dan IAS
Komputer yang merupakan anggota grup SERVER RAS dan IAS, ketika dikonfigurasi dengan benar, dapat menggunakan layanan akses jarak jauh. Secara default, grup ini tidak memiliki anggota. Komputer yang menjalankan Layanan Perutean dan Akses Jarak Jauh (RRAS) dan layanan akses jarak jauh seperti Layanan Autentikasi Internet (IAS) dan Server Kebijakan Jaringan ditambahkan ke grup secara otomatis. Anggota grup ini memiliki akses ke properti objek Pengguna tertentu, seperti Pembatasan Akun Baca, Membaca Informasi Masuk, dan Membaca Informasi Akses Jarak Jauh.
Grup SERVER RAS dan IAS berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-553<> |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | Ya |
| Hak pengguna default | Tidak |
Server Titik Akhir RDS
Server yang merupakan anggota dalam grup Server Titik Akhir RDS dapat menjalankan komputer virtual dan sesi host tempat program RemoteApp pengguna dan desktop virtual pribadi berjalan. Anda harus mengisi grup ini di server yang menjalankan RD Connection Broker. Server Host Sesi dan server Host Virtualisasi RD yang digunakan dalam penyebaran harus berada dalam grup ini.
Untuk informasi tentang Layanan Desktop Jarak Jauh (RDS), lihat Desktop host dan aplikasi di Layanan Desktop Jauh.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-576 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Server Manajemen RDS
Anda dapat menggunakan server yang merupakan anggota grup Server Manajemen RDS untuk menyelesaikan tindakan administratif rutin pada server yang menjalankan RDS. Anda harus mengisi grup ini di semua server dalam penyebaran RDS. Server yang menjalankan layanan RDS Central Management harus disertakan dalam grup ini.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-577 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Server Akses Jarak Jauh RDS
Server dalam grup Server Akses Jarak Jauh RDS memberi pengguna akses ke program RemoteApp dan desktop virtual pribadi. Dalam penyebaran yang menghadap internet, server ini biasanya disebarkan di jaringan tepi. Anda harus mengisi grup ini di server yang menjalankan RD Connection Broker. Server RD Gateway dan server RD Web Access yang digunakan dalam penyebaran harus berada dalam grup ini.
Untuk informasi selengkapnya, lihat Menghosting desktop dan aplikasi di Layanan Desktop Jauh.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-575 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Pengontrol Domain Baca-saja
Grup ini terdiri dari RODC di domain. RODC memungkinkan organisasi untuk dengan mudah menyebarkan pengendali domain dalam skenario di mana keamanan fisik tidak dapat dijamin, seperti di lokasi kantor cabang atau ketika penyimpanan lokal semua kata sandi domain dianggap sebagai ancaman utama, seperti dalam peran ekstranet atau yang menghadap aplikasi.
Karena Anda dapat mendelegasikan administrasi RODC ke pengguna domain atau grup keamanan, RODC sangat cocok untuk situs yang seharusnya tidak memiliki pengguna yang merupakan anggota grup Admin Domain. RODC memiliki fungsionalitas berikut:
Berisi database AD DS baca-saja
Replikasi unidirectional
Penembolokan kredensial
Pemisahan peran administrator
Berisi Sistem Nama Domain baca-saja (DNS)
Untuk informasi selengkapnya, lihat Memahami perencanaan dan penyebaran untuk pengontrol domain baca-saja.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-521<> |
| Jenis | Global |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Replikasi Kata Sandi RODC Yang Ditolak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Lihat Replikasi Kata Sandi RODC yang Ditolak |
Pengguna Desktop Jarak Jauh
Gunakan grup Pengguna Desktop Jauh di server Host Sesi RD untuk memberikan izin kepada pengguna dan grup untuk menyambungkan dari jarak jauh ke server Host Sesi RD. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus. Grup muncul sebagai SID sampai pengontrol domain dijadikan pengontrol domain utama dan memegang peran master operasi (FSMO).
Grup Pengguna Desktop Jauh berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-555 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | Ya |
| Hak pengguna default | Tidak |
Pengguna Manajemen Jarak Jauh
Anggota grup Pengguna Manajemen Jarak Jauh dapat mengakses sumber daya Windows Management Instrumentation (WMI) melalui protokol manajemen seperti WS-Management melalui layanan Manajemen Jarak Jauh Windows. Akses ke sumber daya WMI hanya berlaku untuk namespace layanan WMI yang memberikan akses kepada pengguna.
Gunakan grup Pengguna Manajemen Jarak Jauh untuk memungkinkan pengguna mengelola server melalui konsol Manajer Server. Gunakan grup WinRMRemoteWMIUsers\_ untuk memungkinkan pengguna menjalankan perintah Windows PowerShell dari jarak jauh.
Untuk informasi selengkapnya, lihat Apa yang baru di MI? dan Tentang WMI.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-580 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Replikator
Komputer yang merupakan anggota grup Replikator mendukung replikasi file di domain. Sistem operasi Windows Server menggunakan Layanan Replikasi File (FRS) untuk mereplikasi kebijakan sistem dan skrip masuk yang disimpan di folder Volume Sistem (folder sysvol). Setiap pengendali domain menyimpan salinan folder sysvol untuk diakses klien jaringan. FRS juga dapat mereplikasi data untuk Sistem File Terdistribusi (DFS) dan menyinkronkan konten setiap anggota dalam set replika seperti yang didefinisikan oleh DFS. FRS dapat menyalin dan memelihara file dan folder bersama di beberapa server secara bersamaan. Ketika perubahan terjadi, konten segera disinkronkan dalam situs dan jadwal antar situs.
Peringatan
Di Windows Server 2008 R2, Anda tidak dapat menggunakan FRS untuk mereplikasi folder DFS atau data kustom (non-sysvol). Pengendali domain Windows Server 2008 R2 masih dapat menggunakan FRS untuk mereplikasi konten sumber daya bersama folder sysvol dalam domain yang menggunakan FRS untuk mereplikasi sumber daya bersama folder sysvol antar pengendali domain. Namun, server Windows Server 2008 R2 tidak dapat menggunakan FRS untuk mereplikasi konten set replika apa pun kecuali sumber daya bersama folder sysvol. Layanan Replikasi DFS adalah pengganti FRS. Anda dapat menggunakan Replikasi DFS untuk mereplikasi konten sumber daya bersama folder sysvol, folder DFS, dan data kustom (non-sysvol) lainnya. Anda harus memigrasikan semua set replika FRS non-sysvol ke Replikasi DFS.
Untuk informasi selengkapnya, lihat:
- Layanan Replikasi File (FRS) tidak digunakan lagi di Windows Server 2008 R2 (Windows)
- Ikhtisar namespace layanan DFS dan Replikasi DFS
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-552 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Admin Skema
Anggota grup Admin Skema dapat mengubah skema Direktori Aktif. Grup ini hanya ada di domain akar forest domain Active Directory. Grup ini adalah grup Universal jika domain berada dalam mode asli. Grup ini adalah grup Global jika domain berada dalam mode campuran.
Grup ini berwenang untuk membuat perubahan skema di Direktori Aktif. Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest. Grup ini memiliki akses administratif penuh ke skema.
Salah satu grup administrator layanan di domain akar dapat mengubah keanggotaan grup ini. Grup ini dianggap sebagai akun administrator layanan karena anggotanya dapat memodifikasi skema, yang mengatur struktur dan konten seluruh direktori.
Untuk informasi selengkapnya, lihat Apa itu skema Direktori Aktif?
Grup Admin Skema berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-root< domain-518> |
| Jenis | Universal (jika Domain dalam Mode Asli) global lainnya |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Administrator |
| Anggota default dari | Replikasi Kata Sandi RODC Yang Ditolak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Lihat Replikasi Kata Sandi RODC yang Ditolak |
Operator Server
Anggota grup Operator Server dapat mengelola pengendali domain. Grup ini hanya ada pada pengendali domain. Secara default, grup tidak memiliki anggota. Anggota grup Operator Server dapat mengambil tindakan berikut: masuk ke server secara interaktif, membuat dan menghapus sumber daya bersama jaringan, memulai dan menghentikan layanan, mencadangkan dan memulihkan file, memformat hard disk drive komputer, dan mematikan komputer. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
Secara default, grup bawaan ini tidak memiliki anggota. Grup ini memiliki akses ke opsi konfigurasi server pada pengendali domain. Keanggotaannya dikendalikan oleh administrator layanan grup Administrator dan Admin Domain di domain, dan oleh grup Admin Perusahaan di domain akar hutan. Anggota dalam grup ini tidak dapat mengubah keanggotaan grup administratif apa pun. Grup ini dianggap sebagai akun administrator layanan karena anggotanya memiliki akses fisik ke pengendali domain. Anggota grup ini dapat melakukan tugas pemeliharaan seperti pencadangan dan pemulihan, dan mereka dapat mengubah biner yang diinstal pada pengendali domain. Lihat hak pengguna default grup dalam tabel berikut.
Grup Operator Server berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-549 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | Ya |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Izinkan log masuk secara lokal: SeInteractiveLogonRight Mencadangkan file dan direktori: SeBackupPrivilege Mengubah waktu sistem: SeSystemTimePrivilege Mengubah zona waktu: SeTimeZonePrivilege Mematikan paksa dari sistem jarak jauh: SeRemoteShutdownPrivilege Memulihkan file dan direktori: Memulihkan file dan direktori SeRestorePrivilege Matikan sistem: SeShutdownPrivilege |
Administrator Replika Penyimpanan
Anggota grup Administrator Replika Penyimpanan memiliki akses lengkap dan tidak terbatas ke semua fitur Replika Penyimpanan. Grup Administrator Replika Penyimpanan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-582 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Akun Terkelola Sistem
Keanggotaan grup Akun Terkelola Sistem dikelola oleh sistem.
Grup Akun Terkelola Sistem berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-581 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Pengguna |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Server Lisensi Server Terminal
Anggota grup Server Lisensi Server Terminal dapat memperbarui akun pengguna di Direktori Aktif dengan informasi tentang penerbitan lisensi. Grup ini digunakan untuk melacak dan melaporkan penggunaan TS Per CAL Pengguna. TS Per Cal Pengguna memberi satu pengguna hak untuk mengakses instans Server Terminal dari sejumlah komputer atau perangkat klien yang tidak terbatas. Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
Untuk informasi selengkapnya tentang grup keamanan ini, lihat Konfigurasi grup keamanan Server Lisensi Layanan Terminal.
Grup Server Lisensi Server Terminal berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-561 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | Ya |
| Hak pengguna default | Tidak |
Pengguna
Anggota grup Pengguna dicegah untuk membuat perubahan di seluruh sistem yang tidak disengaja atau disengaja. Anggota grup ini dapat menjalankan sebagian besar aplikasi. Setelah penginstalan awal sistem operasi, satu-satunya anggota adalah grup Pengguna Terautentikasi. Saat komputer bergabung dengan domain, grup Pengguna Domain ditambahkan ke grup Pengguna di komputer.
Pengguna dapat melakukan tugas seperti menjalankan aplikasi, menggunakan printer lokal dan jaringan, mematikan komputer, dan mengunci komputer. Pengguna dapat menginstal aplikasi yang hanya dapat mereka gunakan jika program penginstalan aplikasi mendukung penginstalan per pengguna. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
Grup Pengguna berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
Grup keamanan ini mencakup perubahan berikut sejak Windows Server 2008:
Di Windows Server 2008 R2, Interactive ditambahkan ke daftar anggota default.
Di Windows Server 2012, daftar Anggota Default berubah dari Pengguna Domain menjadi tidak ada.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-545 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Pengguna Terautentikasi |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | No |
| Hak pengguna default | Tidak |
Akses Otorisasi Windows
Anggota grup ini memiliki akses ke atribut GroupsGlobalAndUniversal token komputasi pada objek Pengguna. Beberapa aplikasi memiliki fitur yang membaca atribut token-groups-global-and-universal (TGGAU) pada objek akun pengguna atau pada objek akun komputer di AD DS. Beberapa fungsi Win32 memudahkan untuk membaca atribut TGGAU. Aplikasi yang membaca atribut ini atau yang memanggil API ( fungsi) yang membaca atribut ini tidak berhasil jika konteks keamanan panggilan tidak memiliki akses ke atribut . Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.
Grup Akses Otorisasi Windows berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-32-560 |
| Jenis | Lokal Bawaan |
| Kontainer default | CN=Builtin, DC=<domain>, DC= |
| Anggota default | Pengendali Domain Perusahaan |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Tidak dapat dipindahkan |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | Ya |
| Hak pengguna default | Tidak |
WinRMRemoteWMIUsers_
Di Windows Server 2012 dan Windows 8, tab Berbagi ditambahkan ke antarmuka pengguna Pengaturan Keamanan Tingkat Lanjut. Tab ini menampilkan properti keamanan berbagi file jarak jauh. Untuk melihat informasi ini, Anda harus memiliki izin dan keanggotaan berikut, yang sesuai untuk versi Windows Server yang dijalankan server file.
Grup WinRMRemoteWMIUsers_ berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.
Jika berbagi file dihosting di server yang menjalankan versi sistem operasi yang didukung:
Anda harus menjadi anggota grup WinRMRemoteWMIUsers__ atau grup BUILTIN\Administrators.
Anda harus memiliki izin Baca ke berbagi file.
Jika berbagi file dihosting di server yang menjalankan versi Windows Server yang lebih lama dari Windows Server 2012:
Anda harus menjadi anggota grup BUILTIN\Administrators.
Anda harus memiliki izin Baca ke berbagi file.
Di Windows Server 2012, fungsionalitas Bantuan Ditolak Akses menambahkan grup Pengguna Terautentikasi ke grup WinRMRemoteWMIUsers__ lokal. Saat fungsionalitas Bantuan Ditolak Akses diaktifkan, semua pengguna terautentikasi yang memiliki izin Baca ke berbagi file dapat melihat izin berbagi file.
Catatan
Grup WinRMRemoteWMIUsers__ memungkinkan menjalankan perintah Windows PowerShell dari jarak jauh. Sebaliknya, Anda biasanya menggunakan grup Pengguna Manajemen Jarak Jauh untuk memungkinkan pengguna mengelola server dengan menggunakan konsol Manajer Server.
| Atribut | Nilai |
|---|---|
| SID/RID terkenal | S-1-5-21-domain-variable<>< RI> |
| Jenis | Lokal domain |
| Kontainer default | CN=Users, DC=<domain>, DC= |
| Anggota default | Tidak |
| Anggota default dari | Tidak |
| Dilindungi oleh AdminSDHolder? | No |
| Aman untuk keluar dari kontainer default? | Ya |
| Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? | |
| Hak pengguna default | Tidak |
Lihat juga
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk