Bagikan melalui


Grup keamanan Direktori Aktif

Pelajari tentang grup keamanan Direktori Aktif default, cakupan grup, dan fungsi grup.

Apa itu grup keamanan di Direktori Aktif?

Direktori Aktif memiliki dua bentuk prinsip keamanan umum: akun pengguna dan akun komputer. Akun-akun ini mewakili entitas fisik yang merupakan seseorang atau komputer. Akun pengguna juga dapat digunakan sebagai akun layanan khusus untuk beberapa aplikasi.

Grup keamanan adalah cara untuk mengumpulkan akun pengguna, akun komputer, dan grup lain ke dalam unit yang dapat dikelola.

Dalam sistem operasi Windows Server, beberapa akun bawaan dan grup keamanan telah dikonfigurasi sebelumnya dengan hak dan izin yang sesuai untuk melakukan tugas tertentu. Di Direktori Aktif, tanggung jawab administratif dipisahkan menjadi dua jenis administrator:

  • Administrator layanan: Bertanggung jawab untuk memelihara dan memberikan Active Directory Domain Services (AD DS), termasuk mengelola pengendali domain dan mengonfigurasi AD DS.

  • Administrator data: Bertanggung jawab untuk memelihara data yang disimpan di AD DS dan di server anggota domain dan stasiun kerja.

Cara kerja grup keamanan Direktori Aktif

Gunakan grup untuk mengumpulkan akun pengguna, akun komputer, dan grup lain ke dalam unit yang dapat dikelola. Bekerja dengan grup alih-alih dengan pengguna individual membantu Anda menyederhanakan pemeliharaan dan administrasi jaringan.

Direktori Aktif memiliki dua jenis grup:

  • Grup keamanan: Gunakan untuk menetapkan izin ke sumber daya bersama.

  • Grup distribusi: Gunakan untuk membuat daftar distribusi email.

Kelompok keamanan

Grup keamanan dapat menyediakan cara yang efisien untuk menetapkan akses ke sumber daya di jaringan Anda. Dengan menggunakan grup keamanan, Anda dapat:

  • Tetapkan hak pengguna ke grup keamanan di Direktori Aktif.

    Tetapkan hak pengguna ke grup keamanan untuk menentukan anggota grup tersebut dalam cakupan domain atau forest. Hak pengguna secara otomatis ditetapkan ke beberapa grup keamanan saat Direktori Aktif diinstal untuk membantu administrator menentukan peran administratif seseorang di domain.

    Misalnya, pengguna yang Anda tambahkan ke grup Operator Cadangan di Direktori Aktif dapat mencadangkan dan memulihkan file dan direktori yang terletak di setiap pengontrol domain di domain. Pengguna dapat menyelesaikan tindakan ini karena, secara default, hak pengguna Mencadangkan file dan direktori serta Memulihkan file dan direktori secara otomatis ditetapkan ke grup Operator Cadangan. Oleh karena itu, anggota grup ini mewarisi hak pengguna yang ditetapkan ke grup tersebut.

    Anda dapat menggunakan Kebijakan Grup untuk menetapkan hak pengguna ke grup keamanan untuk mendelegasikan tugas tertentu. Untuk informasi selengkapnya tentang menggunakan Kebijakan Grup, lihat Penetapan Hak Pengguna.

  • Tetapkan izin ke grup keamanan untuk sumber daya.

    Izin berbeda dari hak pengguna. Izin ditetapkan ke grup keamanan untuk sumber daya bersama. Izin menentukan siapa yang dapat mengakses sumber daya dan tingkat akses, seperti Kontrol penuh atau Baca. Beberapa izin yang diatur pada objek domain secara otomatis ditetapkan untuk memungkinkan berbagai tingkat akses ke grup keamanan default seperti grup Operator Akun atau grup Admin Domain.

    Grup keamanan tercantum dalam Daftar Kontrol Akses Diskresi (DACL) yang menentukan izin pada sumber daya dan objek. Ketika administrator menetapkan izin untuk sumber daya seperti berbagi file atau printer, mereka harus menetapkan izin tersebut ke grup keamanan alih-alih untuk pengguna individual. Izin ditetapkan sekali ke grup alih-alih beberapa kali untuk setiap pengguna individu. Setiap akun yang ditambahkan ke grup menerima hak yang ditetapkan ke grup tersebut di Direktori Aktif. Pengguna menerima izin yang ditentukan untuk grup tersebut.

Anda dapat menggunakan grup keamanan sebagai entitas email. Mengirim pesan email ke grup keamanan mengirimkan pesan ke semua anggota grup.

Grup distribusi

Anda hanya dapat menggunakan grup distribusi untuk mengirim email ke kumpulan pengguna dengan menggunakan aplikasi email seperti Server Exchange. Grup distribusi tidak diaktifkan keamanan, sehingga Anda tidak dapat menyertakannya dalam DACL.

Cakupan grup

Setiap grup memiliki cakupan yang mengidentifikasi sejauh mana grup diterapkan di pohon domain atau forest. Cakupan grup menentukan di mana dalam izin jaringan dapat diberikan untuk grup. Direktori Aktif mendefinisikan tiga cakupan grup berikut:

  • Universal

  • Global

  • Domain Lokal

Catatan

Selain ketiga cakupan ini, grup default dalam kontainer Builtin memiliki cakupan grup Builtin Local. Cakupan grup dan jenis grup ini tidak dapat diubah.

Tabel berikut ini menjelaskan tiga cakupan grup dan cara kerjanya sebagai grup keamanan:

Cakupan Kemungkinan anggota Konversi cakupan Dapat memberikan izin Kemungkinan anggota dari
Universal Akun dari domain apa pun di forest yang sama

Grup global dari domain apa pun di forest yang sama

Grup Universal lainnya dari domain apa pun di forest yang sama

Dapat dikonversi ke cakupan Lokal Domain jika grup bukan anggota grup Universal lainnya

Dapat dikonversi ke cakupan Global jika grup tidak berisi grup Universal lainnya

Pada domain apa pun di forest yang sama atau hutan kepercayaan Grup Universal lainnya di forest yang sama

Grup Domain Lokal di forest yang sama atau hutan kepercayaan

Grup lokal di komputer di forest yang sama atau memercayai forest

Global Akun dari domain yang sama

Grup Global lainnya dari domain yang sama

Dapat dikonversi ke cakupan Universal jika grup bukan anggota grup Global lainnya Pada domain apa pun di forest yang sama, atau mempercayai domain atau forest Grup universal dari domain apa pun di forest yang sama

Grup Global lainnya dari domain yang sama

Grup Domain Lokal dari domain apa pun di forest yang sama, atau dari domain tepercaya apa pun

Domain Lokal Akun dari domain apa pun atau domain tepercaya apa pun

Grup global dari domain apa pun atau domain tepercaya apa pun

Grup universal dari domain apa pun di forest yang sama

Grup Domain Lokal lainnya dari domain yang sama

Akun, Grup global, dan grup Universal dari forest lain dan dari domain eksternal

Dapat dikonversi ke cakupan Universal jika grup tidak berisi grup Domain Lokal lainnya Dalam domain yang sama Grup Domain Lokal lainnya dari domain yang sama

Grup lokal di komputer di domain yang sama, tidak termasuk grup bawaan yang memiliki pengidentifikasi keamanan (SID) terkenal

Grup identitas khusus

Grup identitas khusus adalah tempat identitas khusus tertentu dikelompokkan bersama-sama. Grup identitas khusus tidak memiliki keanggotaan tertentu yang dapat Anda ubah, tetapi mereka dapat mewakili pengguna yang berbeda pada waktu yang berbeda tergantung pada keadaan. Beberapa grup ini termasuk Pemilik Pembuat, Batch, dan Pengguna Terautentikasi.

Untuk informasi selengkapnya, lihat Grup identitas khusus.

Grup keamanan default

Grup default seperti grup Admin Domain adalah grup keamanan yang dibuat secara otomatis saat Anda membuat domain Direktori Aktif. Anda dapat menggunakan grup yang telah ditentukan sebelumnya ini untuk membantu mengontrol akses ke sumber daya bersama dan untuk mendelegasikan peran administratif di seluruh domain tertentu.

Banyak grup default secara otomatis diberi sekumpulan hak pengguna yang mengotorisasi anggota grup untuk melakukan tindakan tertentu di domain, seperti masuk ke sistem lokal atau mencadangkan file dan folder. Misalnya, anggota grup Operator Cadangan dapat melakukan operasi pencadangan untuk semua pengendali domain di domain.

Saat Anda menambahkan pengguna ke grup, pengguna menerima semua hak pengguna yang ditetapkan ke grup, termasuk semua izin yang ditetapkan ke grup untuk sumber daya bersama apa pun.

Grup default terletak di kontainer Bawaan dan dalam kontainer Pengguna di Pengguna direktori aktif dan Komputer. Kontainer Bawaan menyertakan grup yang ditentukan dengan cakupan Domain Lokal. Kontainer Pengguna menyertakan grup yang didefinisikan dengan Cakupan global dan grup yang ditentukan dengan cakupan Domain Lokal. Anda dapat memindahkan grup yang terletak di kontainer ini ke grup lain atau unit organisasi dalam domain, tetapi Anda tidak dapat memindahkannya ke domain lain.

Beberapa grup administratif yang tercantum dalam artikel ini dan semua anggota grup ini dilindungi oleh proses latar belakang yang secara berkala memeriksa dan menerapkan pendeskripsi keamanan tertentu. Deskriptor ini adalah struktur data yang berisi informasi keamanan yang terkait dengan objek yang dilindungi. Proses ini memastikan bahwa upaya tidak sah yang berhasil untuk mengubah deskriptor keamanan pada salah satu akun atau grup administratif ditimpa dengan pengaturan yang dilindungi.

Deskriptor keamanan ada di objek AdminSDHolder. Jika Anda ingin mengubah izin pada salah satu grup administrator layanan atau di salah satu akun anggotanya, Anda harus mengubah pendeskripsi keamanan pada objek AdminSDHolder sehingga diterapkan secara konsisten. Berhati-hatilah saat Anda melakukan modifikasi ini karena Anda juga mengubah pengaturan default yang diterapkan ke semua akun administratif yang dilindungi.

Grup keamanan Direktori Aktif Default

Daftar berikut ini menyediakan deskripsi grup default yang terletak di kontainer Bawaan dan Pengguna di Direktori Aktif:

Operator Bantuan Access Control

Anggota grup ini dapat mengkueri atribut dan izin otorisasi dari jarak jauh untuk sumber daya di komputer.

Grup Operator Bantuan Kontrol Akses berlaku untuk sistem operasi Windows Server yang tercantum dalam tabel grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-579
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Operator Akun

Grup Operator Akun memberikan hak istimewa pembuatan akun terbatas kepada pengguna. Anggota grup ini dapat membuat dan memodifikasi sebagian besar jenis akun, termasuk akun untuk pengguna, Grup lokal, dan grup Global. Anggota grup dapat masuk secara lokal ke pengontrol domain.

Anggota grup Operator Akun tidak dapat mengelola akun pengguna Administrator, akun pengguna administrator, atau administrator, Operator Server, Operator Akun, Operator Cadangan, atau grup Operator Cetak. Anggota grup ini tidak dapat mengubah hak pengguna.

Grup Operator Akun berlaku untuk sistem operasi Windows Server dalam daftar grup keamanan Direktori Aktif Default.

Catatan

Secara default, grup bawaan ini tidak memiliki anggota. Grup dapat membuat dan mengelola pengguna dan grup di domain, termasuk keanggotaannya sendiri dan grup Operator Server. Grup ini dianggap sebagai grup administrator layanan karena dapat mengubah Operator Server, yang pada gilirannya dapat mengubah pengaturan pengendali domain. Sebagai praktik terbaik, biarkan keanggotaan grup ini kosong, dan jangan gunakan untuk administrasi yang didelegasikan. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Atribut Nilai
SID/RID terkenal S-1-5-32-548
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Izinkan log masuk secara lokal: SeInteractiveLogonRight

Administrator

Anggota grup Administrator memiliki akses lengkap dan tidak terbatas ke komputer. Jika komputer dipromosikan ke pengendali domain, anggota grup Administrator memiliki akses tidak terbatas ke domain.

Grup Administrator berlaku untuk sistem operasi Windows Server di daftar grup keamanan Direktori Aktif Default.

Catatan

Grup Administrator memiliki kemampuan bawaan yang memberi anggotanya kontrol penuh atas sistem. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus. Grup bawaan ini mengontrol akses ke semua pengendali domain di domainnya, dan dapat mengubah keanggotaan semua grup administratif. Anggota grup berikut dapat mengubah keanggotaan grup Administrator: Administrator layanan default, Admin Domain di domain, dan Admin Perusahaan. Grup ini memiliki hak istimewa khusus untuk mengambil kepemilikan objek apa pun di direktori atau sumber daya apa pun pada pengendali domain. Akun ini dianggap sebagai grup administrator layanan karena anggotanya memiliki akses penuh ke pengendali domain di domain.

Grup keamanan ini mencakup perubahan berikut sejak Windows Server 2008:

Atribut Nilai
SID/RID terkenal S-1-5-32-544
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Administrator, Admin Domain, Admin Perusahaan
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Menyesuaikan kuota memori untuk proses: SeIncreaseQuotaPrivilege

Akses komputer ini dari jaringan: SeNetworkLogonRight

Izinkan log masuk secara lokal: SeInteractiveLogonRight

Izinkan masuk melalui Layanan Desktop Jarak Jauh: SeRemoteInteractiveLogonRight

Mencadangkan file dan direktori: SeBackupPrivilege

Melewati pemeriksaan melintasi: SeChangeNotifyPrivilege

Mengubah waktu sistem: SeSystemTimePrivilege

Mengubah zona waktu: SeTimeZonePrivilege

Membuat pagefile: SeCreatePagefilePrivilege

Membuat objek global: SeCreateGlobalPrivilege

Membuat tautan simbolis: SeCreateSymbolicLinkPrivilege

Program debug: SeDebugPrivilege

Mengaktifkan akun komputer dan pengguna untuk dipercaya untuk delegasi: SeEnableDelegationPrivilege

Mematikan paksa dari sistem jarak jauh: SeRemoteShutdownPrivilege

Meniru klien setelah autentikasi: SeImpersonatePrivilege

Meningkatkan prioritas penjadwalan: SeIncreaseBasePriorityPrivilege

Memuat dan membongkar driver perangkat: SeLoadDriverPrivilege

Masuk sebagai pekerjaan batch: SeBatchLogonRight

Mengelola audit dan log keamanan: SeSecurityPrivilege

Mengubah nilai lingkungan firmware: SeSystemEnvironmentPrivilege

Melakukan tugas pemeliharaan volume: SeManageVolumePrivilege

Performa sistem profil: SeSystemProfilePrivilege

Proses tunggal profil: SeProfileSingleProcessPrivilege

Menghapus komputer dari stasiun dok: SeUndockPrivilege

Memulihkan file dan direktori: SeRestorePrivilege

Matikan sistem: SeShutdownPrivilege

Ambil kepemilikan file atau objek lain: SeTakeOwnershipPrivilege

Replikasi Kata Sandi RODC yang Diizinkan

Tujuan dari grup keamanan ini adalah untuk mengelola kebijakan replikasi kata sandi pengontrol domain baca-saja (RODC). Grup ini tidak memiliki anggota secara default, dan menghasilkan kondisi bahwa RODC baru tidak menyimpan kredensial pengguna. Grup Replikasi Kata Sandi RODC yang Ditolak berisi berbagai akun hak istimewa tinggi dan grup keamanan. Grup Replikasi Kata Sandi RODC yang Ditolak menggantikan grup Replikasi Kata Sandi RODC yang Diizinkan.

Grup Replikasi Kata Sandi RODC yang Diizinkan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-571<>
Jenis Lokal domain
Kontainer default CN=Users DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Operator Azure Backup

Anggota grup Operator Cadangan dapat mencadangkan dan memulihkan semua file di komputer, terlepas dari izin yang melindungi file tersebut. Operator Cadangan juga dapat masuk dan mematikan komputer. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus. Secara default, grup bawaan ini tidak memiliki anggota, dan dapat melakukan operasi pencadangan dan pemulihan pada pengendali domain. Anggota grup berikut dapat mengubah keanggotaan grup Operator Cadangan: Administrator layanan default, Admin Domain di domain, dan Admin Perusahaan. Anggota grup Operator Cadangan tidak dapat mengubah keanggotaan grup administratif apa pun. Meskipun anggota grup ini tidak dapat mengubah pengaturan server atau mengubah konfigurasi direktori, mereka memiliki izin yang diperlukan untuk mengganti file (termasuk file sistem operasi) pada pengendali domain. Karena anggota grup ini dapat menggantikan file pada pengendali domain, mereka dianggap sebagai administrator layanan.

Grup Operator Cadangan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-551
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Izinkan log masuk secara lokal: SeInteractiveLogonRight

Mencadangkan file dan direktori: SeBackupPrivilege

Masuk sebagai pekerjaan batch: SeBatchLogonRight

Memulihkan file dan direktori: SeRestorePrivilege

Matikan sistem: SeShutdownPrivilege

Akses DCOM Layanan Sertifikat

Anggota grup ini dapat terhubung ke otoritas sertifikasi di perusahaan.

Grup Akses DCOM Layanan Sertifikat berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-domain-574<>
Jenis Domain Lokal
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Penerbit Sertifikat

Anggota grup Penerbit Cert berwenang untuk menerbitkan sertifikat untuk objek Pengguna di Direktori Aktif.

Grup Penerbit Cert berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-517<>
Jenis Domain Lokal
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Replikasi Kata Sandi RODC Yang Ditolak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Pengontrol Domain yang Dapat Dikloning

Anggota grup Pengontrol Domain yang Dapat Dikloning yang merupakan pengendali domain dapat dikloning. Di Windows Server 2012 R2 dan Windows Server 2012, Anda dapat menyebarkan pengendali domain dengan menyalin pengontrol domain virtual yang ada. Di lingkungan virtual, Anda tidak lagi harus berulang kali menyebarkan gambar server yang disiapkan dengan menggunakan Sysprep.exe, mempromosikan server ke pengendali domain, lalu menyelesaikan lebih banyak persyaratan konfigurasi untuk menyebarkan setiap pengontrol domain (termasuk menambahkan pengontrol domain virtual ke grup keamanan ini).

Untuk informasi selengkapnya, lihat Memvirtualisasi Active Directory Domain Services (AD DS) dengan aman

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-522<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Operator Kriptografi

Anggota grup ini berwenang untuk melakukan operasi kriptografi. Grup keamanan ini ditambahkan dalam Windows Vista Service Pack 1 (SP1) untuk mengonfigurasi Windows Firewall untuk IPsec dalam mode Kriteria Umum.

Grup Operator Kriptografi berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Grup keamanan ini diperkenalkan di Windows Vista SP1, dan tidak berubah dalam versi berikutnya.

Atribut Nilai
SID/RID terkenal S-1-5-32-569
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Replikasi Kata Sandi RODC Yang Ditolak

Kata sandi anggota grup Replikasi Kata Sandi RODC yang Ditolak tidak dapat direplikasi ke RODC apa pun.

Tujuan dari grup keamanan ini adalah untuk mengelola kebijakan replikasi kata sandi RODC. Grup ini berisi berbagai akun hak istimewa tinggi dan grup keamanan. Grup Replikasi Kata Sandi RODC yang Ditolak menggantikan grup Replikasi Kata Sandi RODC yang Diizinkan.

Grup keamanan ini mencakup perubahan berikut sejak Windows Server 2008:

  • Windows Server 2012 mengubah anggota default untuk menyertakan Penerbit Cert.
Atribut Nilai
SID/RID terkenal S-1-5-21-domain-572<>
Jenis Lokal domain
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Penerbit Sertifikasi

Admin Domain

Pengendali Domain

Admin Perusahaan

Pemilik Pembuat Kebijakan Grup

Pengontrol Domain Baca-saja

Admin Skema

Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default?
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Pemilik Perangkat

Saat grup Pemilik Perangkat tidak memiliki anggota, kami sarankan Anda tidak mengubah konfigurasi default untuk grup keamanan ini. Mengubah konfigurasi default mungkin menghambat skenario mendatang yang mengandalkan grup ini. Grup Pemilik Perangkat saat ini tidak digunakan di Windows.

Grup Pemilik Perangkat berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-583
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Anda dapat memindahkan grup, tetapi kami tidak merekomendasikannya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Izinkan log masuk secara lokal: SeInteractiveLogonRight

Akses komputer ini dari jaringan: SeNetworkLogonRight

Melewati pemeriksaan melintasi: SeChangeNotifyPrivilege

Mengubah zona waktu: SeTimeZonePrivilege

Administrator DHCP

Anggota grup Administrator DHCP dapat membuat, menghapus, dan mengelola area yang berbeda dari cakupan server, termasuk hak untuk mencadangkan dan memulihkan database Dynamic Host Configuration Protocol (DHCP). Meskipun grup ini memiliki hak administratif, grup ini bukan bagian dari grup Administrator karena peran ini terbatas pada layanan DHCP.

Grup Administrator DHCP berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal Domain S-1-5-21<>
Jenis Domain Lokal
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Pengguna
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Anda dapat memindahkan grup, tetapi kami tidak merekomendasikannya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Pengguna DHCP

Anggota grup Pengguna DHCP dapat melihat cakupan mana yang aktif atau tidak aktif, melihat alamat IP mana yang ditetapkan, dan melihat masalah konektivitas jika server DHCP tidak dikonfigurasi dengan benar. Grup ini terbatas pada akses baca-saja ke server DHCP.

Grup Pengguna DHCP berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal Domain S-1-5-21<>
Jenis Domain Lokal
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Pengguna
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Anda dapat memindahkan grup, tetapi kami tidak merekomendasikannya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Pengguna COM Terdistribusi

Anggota grup Pengguna COM Terdistribusi dapat meluncurkan, mengaktifkan, dan menggunakan objek COM Terdistribusi di komputer. Microsoft Component Object Model (COM) adalah sistem yang independen, terdistribusi, dan berorientasi objek platform untuk membuat komponen perangkat lunak biner yang dapat berinteraksi. Model Objek Komponen Terdistribusi (DCOM) memungkinkan aplikasi didistribusikan di seluruh lokasi yang paling masuk akal bagi Anda dan ke aplikasi. Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (juga disebut operasi master tunggal fleksibel atau FSMO).

Grup Pengguna COM Terdistribusi berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-562
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

DnsUpdateProxy

Anggota grup DnsUpdateProxy adalah klien DNS. Mereka diizinkan untuk melakukan pembaruan dinamis atas nama klien lain, seperti untuk server DHCP. Server DNS dapat mengembangkan catatan sumber daya kedaluarsa ketika server DHCP dikonfigurasi untuk mendaftarkan catatan sumber daya host (A) dan pointer (PTR) secara dinamis atas nama klien DHCP dengan menggunakan pembaruan dinamis. Menambahkan klien ke kelompok keamanan ini mengurangi skenario ini.

Namun, untuk melindungi dari rekaman yang tidak aman atau mengizinkan anggota grup DnsUpdateProxy mendaftarkan rekaman di zona yang hanya mengizinkan pembaruan dinamis yang aman, Anda harus membuat akun pengguna khusus dan mengonfigurasi server DHCP untuk melakukan pembaruan dinamis DNS dengan menggunakan kredensial (nama pengguna, kata sandi, dan domain) akun ini. Beberapa server DHCP dapat menggunakan kredensial dari satu akun pengguna khusus. Grup ini hanya ada jika peran server DNS adalah atau pernah diinstal pada pengendali domain di domain.

Untuk informasi selengkapnya, lihat Kepemilikan rekaman DNS dan grup DnsUpdateProxy.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-variable<>< RI>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

DnsAdmins

Anggota grup DnsAdmins memiliki akses ke informasi DNS jaringan. Izin defaultnya adalah Izinkan: Baca, Tulis, Buat Semua objek Turunan, Hapus objek Turunan, Izin Khusus. Grup ini hanya ada jika peran server DNS adalah atau pernah diinstal pada pengendali domain di domain.

Untuk informasi selengkapnya tentang keamanan dan DNS, lihat DNSSEC di Windows Server 2012.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-variable<>< RI>
Jenis Lokal Bawaan
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Admin Domain

Anggota grup keamanan Admin Domain berwenang untuk mengelola domain. Secara default, grup Admin Domain adalah anggota grup Administrator di semua komputer yang telah bergabung dengan domain, termasuk pengendali domain. Grup Admin Domain adalah pemilik default objek apa pun yang dibuat di Direktori Aktif untuk domain oleh anggota grup mana pun. Jika anggota grup membuat objek lain, seperti file, pemilik default adalah grup Administrator.

Grup Admin Domain mengontrol akses ke semua pengendali domain di domain, dan dapat mengubah keanggotaan semua akun administratif di domain. Anggota grup administrator layanan di domainnya (Administrator dan Admin Domain) dan anggota grup Admin Perusahaan dapat mengubah keanggotaan Admin Domain. Grup ini dianggap sebagai akun administrator layanan karena anggotanya memiliki akses penuh ke pengendali domain di domain.

Grup Admin Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-512<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Administrator
Anggota default dari Administrator

Replikasi Kata Sandi RODC Yang Ditolak

Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Lihat Administrator

Lihat Replikasi Kata Sandi RODC yang Ditolak

Komputer Domain

Grup ini dapat mencakup semua komputer dan server yang telah bergabung dengan domain, tidak termasuk pengontrol domain. Secara default, akun komputer apa pun yang dibuat secara otomatis menjadi anggota grup ini.

Grup Komputer Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-515<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Semua komputer bergabung ke domain, tidak termasuk pengontrol domain
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya (tetapi tidak diperlukan)
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? Ya
Hak pengguna default Tidak

Pengendali domain

Grup Pengendali Domain dapat menyertakan semua pengontrol domain di domain. Pengendali domain baru secara otomatis ditambahkan ke grup ini.

Grup Pengendali Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-516<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Akun komputer untuk semua pengendali domain domain
Anggota default dari Replikasi Kata Sandi RODC Yang Ditolak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? No
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Tamu Domain

Grup Tamu Domain menyertakan akun Tamu bawaan domain. Ketika anggota grup ini masuk sebagai tamu lokal di komputer yang bergabung dengan domain, profil domain dibuat di komputer lokal.

Grup Tamu Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-514<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tamu
Anggota default dari Tamu
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Anda dapat memindahkan grup, tetapi kami tidak merekomendasikannya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Lihat Tamu

Pengguna Domain

Grup Pengguna Domain menyertakan semua akun pengguna dalam domain. Saat Anda membuat akun pengguna di domain, akun tersebut secara otomatis ditambahkan ke grup ini.

Secara default, akun pengguna apa pun yang dibuat di domain secara otomatis menjadi anggota grup ini. Anda dapat menggunakan grup ini untuk mewakili semua pengguna di domain. Misalnya, jika Anda ingin semua pengguna domain memiliki akses ke printer, Anda dapat menetapkan izin untuk printer ke grup ini atau menambahkan grup Pengguna Domain ke grup Lokal pada server cetak yang memiliki izin untuk pencetak.

Grup Pengguna Domain berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-513<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Administrator
krbtgt
Anggota default dari Pengguna
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Lihat Pengguna

Admin Perusahaan

Grup Admin Perusahaan hanya ada di domain akar dari forest domain Direktori Aktif. Grup adalah grup Universal jika domain berada dalam mode asli. Grup adalah grup Global jika domain berada dalam mode campuran. Anggota grup ini berwenang untuk membuat perubahan di seluruh hutan di Active Directory, seperti menambahkan domain anak.

Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest. Grup ini secara otomatis ditambahkan ke grup Administrator di setiap domain di forest, dan menyediakan akses lengkap untuk mengonfigurasi semua pengontrol domain. Anggota dalam grup ini dapat memodifikasi keanggotaan semua grup administratif. Anggota grup administrator layanan default di domain akar dapat mengubah keanggotaan Admin Perusahaan. Grup ini dianggap sebagai akun administrator layanan.

Grup Admin Perusahaan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-root< domain-519>
Jenis Universal jika domain dalam mode asli; jika tidak, Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Administrator
Anggota default dari Administrator

Replikasi Kata Sandi RODC Yang Ditolak

Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Lihat Administrator

Lihat Replikasi Kata Sandi RODC yang Ditolak

Admin Kunci Perusahaan

Anggota grup ini dapat melakukan tindakan administratif pada objek kunci di dalam forest.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-527<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Pengendali Domain Baca-saja Perusahaan

Anggota grup ini adalah RODC di perusahaan. Kecuali untuk kata sandi akun, RODC menyimpan semua objek dan atribut Direktori Aktif yang disimpan oleh pengontrol domain bisa-tulis. Namun, perubahan tidak dapat dilakukan pada database yang disimpan di RODC. Perubahan harus dilakukan pada pengontrol domain bisa-tulis lalu direplikasi ke RODC.

RODC mengatasi beberapa masalah yang umumnya ditemukan di kantor cabang. Lokasi ini mungkin tidak memiliki pengendali domain, atau mungkin memiliki pengontrol domain yang dapat ditulis tetapi bukan keamanan fisik, bandwidth jaringan, atau keahlian lokal untuk mendukungnya.

Untuk informasi selengkapnya, lihat Apa itu RODC?

Grup Pengendali Domain Baca-saja Perusahaan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-root< domain-498>
Jenis Universal
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default?
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Pembaca Log Peristiwa

Anggota grup ini dapat membaca log peristiwa dari komputer lokal. Grup dibuat ketika server dipromosikan ke pengendali domain.

Grup Pembaca Log Peristiwa berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-573
Jenis Domain Lokal
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Pemilik Pembuat Kebijakan Grup

Grup ini berwenang untuk membuat, mengedit, dan menghapus Objek Kebijakan Grup di domain. Secara default, satu-satunya anggota grup adalah Administrator.

Untuk informasi tentang fitur lain yang bisa Anda gunakan dengan grup keamanan ini, lihat Gambaran umum Kebijakan Grup.

Grup Pemilik Pembuat Kebijakan Grup berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-520<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Administrator
Anggota default dari Replikasi Kata Sandi RODC Yang Ditolak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? No
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Lihat Replikasi Kata Sandi RODC yang Ditolak

Tamu

Anggota grup Tamu memiliki akses yang sama dengan anggota grup Pengguna secara default, kecuali bahwa akun Tamu memiliki batasan lebih lanjut. Secara default, satu-satunya anggota adalah akun Tamu. Grup Tamu memungkinkan pengguna sesekali atau satu kali untuk masuk dengan hak istimewa terbatas ke akun Tamu bawaan komputer.

Saat anggota grup Tamu keluar, seluruh profil akan dihapus. Penghapusan profil mencakup semua yang disimpan di direktori %userprofile% , termasuk informasi sarang registri pengguna, ikon desktop kustom, dan pengaturan khusus pengguna lainnya. Fakta ini menyiratkan bahwa tamu harus menggunakan profil sementara untuk masuk ke sistem. Grup keamanan ini berinteraksi dengan pengaturan Kebijakan Grup. Saat grup keamanan ini diaktifkan, jangan masuk ke pengguna yang memiliki profil sementara. Untuk mengakses pengaturan ini, buka Profil Pengguna Sistem>Templat>Administratif Konfigurasi>Komputer.

Catatan

Akun Tamu adalah anggota default grup keamanan Tamu. Orang yang tidak memiliki akun aktual di domain dapat menggunakan akun Tamu. Pengguna yang akunnya dinonaktifkan (tetapi tidak dihapus) juga dapat menggunakan akun Tamu. Akun Tamu tidak memerlukan kata sandi. Anda dapat mengatur hak dan izin untuk akun Tamu seperti di akun pengguna mana pun. Secara default, akun Tamu adalah anggota grup Tamu bawaan dan grup Global Tamu Domain, yang memungkinkan pengguna untuk masuk ke domain. Akun Tamu dinonaktifkan secara default, dan kami sarankan akun tersebut tetap dinonaktifkan.

Grup Tamu berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-546
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tamu Domain
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Administrator Hyper-V

Anggota grup Administrator Hyper-V memiliki akses lengkap dan tidak terbatas ke semua fitur di Hyper-V. Menambahkan anggota ke grup ini membantu mengurangi jumlah anggota yang diperlukan dalam grup Administrator dan memisahkan akses lebih lanjut.

Catatan

Sebelum Windows Server 2012, akses ke fitur di Hyper-V dikontrol sebagian oleh keanggotaan di grup Administrator.

Atribut Nilai
SID/RID terkenal S-1-5-32-578
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

IIS_IUSRS

IIS_IUSRS adalah grup bawaan yang digunakan oleh Layanan Informasi Internet (IIS) yang dimulai dengan IIS 7. Akun dan grup bawaan dijamin oleh sistem operasi untuk selalu memiliki SID yang unik. IIS 7 menggantikan akun IUSR_MachineName dan grup IIS_WPG dengan grup IIS_IUSRS untuk memastikan bahwa nama aktual yang digunakan akun dan grup baru tidak pernah dilokalkan. Misalnya, terlepas dari bahasa sistem operasi Windows yang Anda instal, nama akun IIS akan selalu IUSR, dan nama grup akan IIS_IUSRS.

Untuk informasi selengkapnya, lihat Memahami akun pengguna dan grup bawaan di IIS 7.

Atribut Nilai
SID/RID terkenal S-1-5-32-568
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default IUSR
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default?
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Pembangun Kepercayaan Hutan Masuk

Anggota grup Pembangun Kepercayaan Hutan Masuk dapat membuat kepercayaan satu arah yang masuk ke forest ini. Direktori Aktif menyediakan keamanan di beberapa domain atau forest melalui hubungan kepercayaan domain dan hutan. Sebelum autentikasi dapat terjadi di seluruh kepercayaan, Windows harus menentukan apakah domain yang diminta oleh pengguna, komputer, atau layanan memiliki hubungan kepercayaan dengan domain masuk akun yang meminta.

Untuk membuat penentuan ini, sistem keamanan Windows menghitung jalur kepercayaan antara pengendali domain untuk server yang menerima permintaan dan pengendali domain di domain akun yang meminta. Saluran aman meluas ke domain Direktori Aktif lainnya melalui hubungan kepercayaan antardomain. Saluran aman ini digunakan untuk mendapatkan dan memverifikasi informasi keamanan, termasuk SID untuk pengguna dan grup.

Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Untuk informasi selengkapnya, lihat Cara Kerja Kepercayaan Domain dan Hutan.

Grup Penyusun Kepercayaan Hutan Masuk berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-557
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Admin Kunci

Anggota grup ini dapat melakukan tindakan administratif pada objek kunci dalam domain.

Grup Admin Kunci berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-526<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Operator Konfigurasi Jaringan

Anggota grup Operator Konfigurasi Jaringan dapat memiliki hak administratif berikut untuk mengelola konfigurasi fitur jaringan:

  • Ubah properti Protokol Kontrol Transmisi/Protokol Internet (TCP/IP) untuk koneksi jaringan area lokal (LAN), yang mencakup alamat IP, subnet mask, gateway default, dan server nama.

  • Ganti nama koneksi LAN atau koneksi akses jarak jauh yang tersedia untuk semua pengguna.

  • Mengaktifkan atau menonaktifkan koneksi LAN.

  • Ubah properti semua koneksi akses jarak jauh pengguna.

  • Hapus semua koneksi akses jarak jauh pengguna.

  • Ganti nama semua koneksi akses jarak jauh pengguna.

  • Masalah ipconfig, ipconfig /release, dan ipconfig /renew perintah.

  • Masukkan kunci buka blokir PIN (PUK) untuk perangkat broadband seluler yang mendukung kartu SIM.

Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Grup Operator Konfigurasi Jaringan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-556
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? Ya
Hak pengguna default Tidak

Pengguna Log Performa

Anggota grup Pengguna Log Performa dapat mengelola penghitung kinerja, log, dan pemberitahuan secara lokal di server dan dari klien jarak jauh tanpa menjadi anggota grup Administrator. Secara khusus, anggota kelompok keamanan ini:

  • Dapat menggunakan semua fitur yang tersedia untuk grup Pengguna Monitor Performa.

  • Dapat membuat dan memodifikasi Himpunan Pengumpul Data setelah grup ditetapkan sebagai hak pengguna pekerjaan batch.

    Peringatan

    Jika Anda adalah anggota grup Pengguna Log Performa, Anda harus mengonfigurasi Kumpulan Pengumpul Data yang Anda buat untuk dijalankan di bawah kredensial Anda.

    Catatan

    Di Windows Server 2016 dan yang lebih baru, anggota grup Pengguna Log Performa tidak dapat membuat Kumpulan Pengumpul Data. Jika anggota grup Pengguna Log Performa mencoba membuat Himpunan Pengumpul Data, mereka tidak dapat menyelesaikan tindakan karena akses ditolak.

  • Tidak dapat menggunakan penyedia peristiwa Windows Kernel Trace di Himpunan Pengumpul Data.

Bagi anggota grup Pengguna Log Performa untuk memulai pengelogan data atau memodifikasi Himpunan Pengumpul Data, grup harus terlebih dahulu diberi hak masuk sebagai pengguna pekerjaan batch. Untuk menetapkan hak pengguna ini, gunakan snap-in Kebijakan Keamanan Lokal di Microsoft Management Console (MMC).

Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Akun ini tidak dapat diganti namanya, dihapus, atau dipindahkan.

Grup Pengguna Log Performa berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-559
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? Ya
Hak pengguna default Masuk sebagai pekerjaan batch: SeBatchLogonRight

Pengguna Pemantau Performa

Anggota grup ini dapat memantau penghitung kinerja pada pengendali domain di domain, secara lokal dan dari klien jarak jauh, tanpa menjadi anggota grup Administrator atau Pengguna Log Performa. Windows Performance Monitor adalah snap-in MMC yang menyediakan alat untuk menganalisis performa sistem. Dari satu konsol, Anda dapat memantau performa aplikasi dan perangkat keras, menyesuaikan data apa yang ingin Anda kumpulkan dalam log, menentukan ambang batas untuk pemberitahuan dan tindakan otomatis, menghasilkan laporan, dan melihat data performa sebelumnya dengan berbagai cara.

Secara khusus, anggota kelompok keamanan ini:

  • Dapat menggunakan semua fitur yang tersedia untuk grup Pengguna.

  • Dapat melihat data performa real time di Monitor Performa.

  • Dapat mengubah properti tampilan Monitor Performa saat menampilkan data.

  • Tidak dapat membuat atau mengubah Himpunan Pengumpul Data.

Peringatan

Anggota grup Pengguna Monitor Performa tidak dapat mengonfigurasi Himpunan Pengumpulan Data.

Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Grup Pengguna Monitor Performa berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-558
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? Ya
Hak pengguna default Tidak

Akses Yang Kompatibel Pra-Windows 2000

Anggota grup Akses Yang Kompatibel Pra-Windows 2000 memiliki akses Baca untuk semua pengguna dan grup di domain. Grup ini disediakan untuk kompatibilitas mundur untuk komputer yang menjalankan Windows NT 4.0 dan yang lebih lama. Secara default, grup identitas khusus Semua Orang adalah anggota grup ini. Tambahkan pengguna ke grup ini hanya jika mereka menjalankan Windows NT 4.0 atau yang lebih lama.

Peringatan

Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO).

Grup Akses Kompatibel Pra-Windows 2000 berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-554
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Jika Anda memilih mode Izin Yang Kompatibel Pra-Windows 2000, Semua Orang dan Anonim adalah anggota. Jika Anda memilih mode izin khusus Windows 2000, Pengguna terautentikasi adalah anggota.
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Akses komputer ini dari jaringan: SeNetworkLogonRight

Melewati pemeriksaan melintasi: SeChangeNotifyPrivilege

Anggota grup ini dapat mengelola, membuat, berbagi, dan menghapus printer yang tersambung ke pengendali domain di domain. Mereka juga dapat mengelola objek printer Direktori Aktif di domain. Anggota grup ini dapat masuk secara lokal dan mematikan pengontrol domain di domain.

Grup ini tidak memiliki anggota default. Karena anggota grup ini dapat memuat dan membongkar driver perangkat pada semua pengendali domain di domain, tambahkan pengguna dengan hati-hati. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Grup Operator Cetak berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Untuk informasi selengkapnya, lihat Menetapkan administrator cetak yang didelegasikan dan pengaturan izin printer di Windows Server 2012.

Atribut Nilai
SID/RID terkenal S-1-5-32-550
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Izinkan log masuk secara lokal: SeInteractiveLogonRight

Memuat dan membongkar driver perangkat: SeLoadDriverPrivilege

Matikan sistem: SeShutdownPrivilege

Pengguna yang Dilindungi

Anggota grup Pengguna Yang Dilindungi memiliki perlindungan ekstra terhadap penyusupan kredensial selama proses autentikasi.

Kelompok keamanan ini dirancang sebagai bagian dari strategi untuk melindungi dan mengelola kredensial secara efektif dalam perusahaan. Anggota grup ini secara otomatis memiliki perlindungan yang tidak dapat dikonfigurasi yang diterapkan ke akun mereka. Keanggotaan dalam grup Pengguna Yang Dilindungi dimaksudkan untuk menjadi ketat dan secara proaktif diamankan secara default. Satu-satunya cara Anda dapat mengubah perlindungan untuk akun adalah menghapus akun dari grup keamanan.

Grup Global terkait domain ini memicu perlindungan yang tidak dapat dikonfigurasi pada perangkat dan komputer host, dimulai dengan sistem operasi Windows Server 2012 R2 dan Windows 8.1. Ini juga memicu perlindungan yang tidak dapat dikonfigurasi pada pengendali domain di domain yang memiliki pengendali domain utama yang menjalankan Windows Server 2016 atau Windows Server 2012 R2. Perlindungan ini sangat mengurangi jejak memori kredensial ketika pengguna masuk ke komputer di jaringan dari komputer yang tidak disusupi.

Bergantung pada tingkat fungsional domain akun, anggota grup Pengguna Terproteksi dilindungi lebih lanjut karena perubahan perilaku dalam metode autentikasi yang didukung di Windows:

  • Anggota grup Pengguna Terproteksi tidak dapat mengautentikasi dengan menggunakan Penyedia Dukungan Keamanan (SSP) berikut: NTLM, Autentikasi Hash, atau CredSSP. Kata sandi tidak di-cache pada perangkat yang menjalankan Windows 10 atau Windows 8.1, sehingga perangkat gagal mengautentikasi ke domain saat akun tersebut adalah anggota grup Pengguna Terproteksi.

  • Protokol Kerberos tidak akan menggunakan jenis enkripsi DES atau RC4 yang lebih lemah dalam proses praauthentication. Domain harus dikonfigurasi untuk mendukung setidaknya rangkaian sandi AES.

  • Akun pengguna tidak dapat didelegasikan dengan delegasi kerberos yang dibatasi atau tidak dibatasi. Jika pengguna adalah anggota grup Pengguna Yang Dilindungi, koneksi sebelumnya ke sistem lain mungkin gagal.

  • Anda dapat mengubah pengaturan masa pakai tiket pemberian tiket (TGT) Kerberos default selama empat jam dengan menggunakan Kebijakan Autentikasi dan Silo di Pusat Administratif Direktori Aktif. Dalam pengaturan default, ketika empat jam telah berlalu, pengguna harus mengautentikasi lagi.

Grup Pengguna Terproteksi berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Grup ini diperkenalkan di Windows Server 2012 R2. Untuk informasi selengkapnya tentang cara kerja grup ini, lihat Grup keamanan Pengguna Terproteksi.

Tabel berikut ini menentukan properti grup Pengguna Terproteksi:

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-525<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Server RAS dan IAS

Komputer yang merupakan anggota grup SERVER RAS dan IAS, ketika dikonfigurasi dengan benar, dapat menggunakan layanan akses jarak jauh. Secara default, grup ini tidak memiliki anggota. Komputer yang menjalankan Layanan Perutean dan Akses Jarak Jauh (RRAS) dan layanan akses jarak jauh seperti Layanan Autentikasi Internet (IAS) dan Server Kebijakan Jaringan ditambahkan ke grup secara otomatis. Anggota grup ini memiliki akses ke properti objek Pengguna tertentu, seperti Pembatasan Akun Baca, Membaca Informasi Masuk, dan Membaca Informasi Akses Jarak Jauh.

Grup SERVER RAS dan IAS berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-553<>
Jenis Lokal Bawaan
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? Ya
Hak pengguna default Tidak

Server Titik Akhir RDS

Server yang merupakan anggota dalam grup Server Titik Akhir RDS dapat menjalankan komputer virtual dan sesi host tempat program RemoteApp pengguna dan desktop virtual pribadi berjalan. Anda harus mengisi grup ini di server yang menjalankan RD Connection Broker. Server Host Sesi dan server Host Virtualisasi RD yang digunakan dalam penyebaran harus berada dalam grup ini.

Untuk informasi tentang Layanan Desktop Jarak Jauh (RDS), lihat Gambaran umum Layanan Desktop Jarak Jauh di Windows Server.

Atribut Nilai
SID/RID terkenal S-1-5-32-576
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Server Manajemen RDS

Anda dapat menggunakan server yang merupakan anggota grup Server Manajemen RDS untuk menyelesaikan tindakan administratif rutin pada server yang menjalankan RDS. Anda harus mengisi grup ini di semua server dalam penyebaran RDS. Server yang menjalankan layanan RDS Central Management harus disertakan dalam grup ini.

Atribut Nilai
SID/RID terkenal S-1-5-32-577
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Server Akses Jarak Jauh RDS

Server dalam grup Server Akses Jarak Jauh RDS memberi pengguna akses ke program RemoteApp dan desktop virtual pribadi. Dalam penyebaran yang menghadap internet, server ini biasanya disebarkan di jaringan tepi. Anda harus mengisi grup ini di server yang menjalankan RD Connection Broker. Server RD Gateway dan server RD Web Access yang digunakan dalam penyebaran harus berada dalam grup ini.

Untuk informasi selengkapnya, lihat Gambaran umum Layanan Desktop Jauh di Windows Server.

Atribut Nilai
SID/RID terkenal S-1-5-32-575
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Pengontrol Domain Baca-saja

Grup ini terdiri dari RODC di domain. RODC memungkinkan organisasi untuk dengan mudah menyebarkan pengendali domain dalam skenario di mana keamanan fisik tidak dapat dijamin, seperti di lokasi kantor cabang atau ketika penyimpanan lokal semua kata sandi domain dianggap sebagai ancaman utama, seperti dalam peran ekstranet atau yang menghadap aplikasi.

Karena Anda dapat mendelegasikan administrasi RODC ke pengguna domain atau grup keamanan, RODC sangat cocok untuk situs yang seharusnya tidak memiliki pengguna yang merupakan anggota grup Admin Domain. RODC memiliki fungsionalitas berikut:

  • Berisi database AD DS baca-saja

  • Replikasi unidirectional

  • Penembolokan kredensial

  • Pemisahan peran administrator

  • Berisi Sistem Nama Domain baca-saja (DNS)

Untuk informasi selengkapnya, lihat Memahami Perencanaan dan Penyebaran untuk Pengontrol Domain Baca-Saja.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-521<>
Jenis Global
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Replikasi Kata Sandi RODC Yang Ditolak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Lihat Replikasi Kata Sandi RODC yang Ditolak

Pengguna Desktop Jarak Jauh

Gunakan grup Pengguna Desktop Jauh di server Host Sesi RD untuk memberikan izin kepada pengguna dan grup untuk menyambungkan dari jarak jauh ke server Host Sesi RD. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus. Grup muncul sebagai SID sampai pengontrol domain dijadikan pengontrol domain utama dan memegang peran master operasi (FSMO).

Grup Pengguna Desktop Jauh berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-555
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? Ya
Hak pengguna default Tidak

Pengguna Manajemen Jarak Jauh

Anggota grup Pengguna Manajemen Jarak Jauh dapat mengakses sumber daya Windows Management Instrumentation (WMI) melalui protokol manajemen seperti WS-Management melalui layanan Manajemen Jarak Jauh Windows. Akses ke sumber daya WMI hanya berlaku untuk namespace layanan WMI yang memberikan akses kepada pengguna.

Gunakan grup Pengguna Manajemen Jarak Jauh untuk memungkinkan pengguna mengelola server melalui konsol Manajer Server. Gunakan grup WinRMRemoteWMIUsers\_ untuk memungkinkan pengguna menjalankan perintah Windows PowerShell dari jarak jauh.

Untuk informasi selengkapnya, lihat Apa yang baru di MI? dan Tentang WMI.

Atribut Nilai
SID/RID terkenal S-1-5-32-580
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Replikator

Komputer yang merupakan anggota grup Replikator mendukung replikasi file di domain. Sistem operasi Windows Server menggunakan Layanan Replikasi File (FRS) untuk mereplikasi kebijakan sistem dan skrip masuk yang disimpan di folder Volume Sistem (folder sysvol). Setiap pengendali domain menyimpan salinan folder sysvol untuk diakses klien jaringan. FRS juga dapat mereplikasi data untuk Sistem File Terdistribusi (DFS) dan menyinkronkan konten setiap anggota dalam set replika seperti yang didefinisikan oleh DFS. FRS dapat menyalin dan memelihara file dan folder bersama di beberapa server secara bersamaan. Ketika perubahan terjadi, konten segera disinkronkan dalam situs dan jadwal antar situs.

Peringatan

Di Windows Server 2008 R2, Anda tidak dapat menggunakan FRS untuk mereplikasi folder DFS atau data kustom (non-sysvol). Pengendali domain Windows Server 2008 R2 masih dapat menggunakan FRS untuk mereplikasi konten sumber daya bersama folder sysvol dalam domain yang menggunakan FRS untuk mereplikasi sumber daya bersama folder sysvol antar pengendali domain. Namun, server Windows Server 2008 R2 tidak dapat menggunakan FRS untuk mereplikasi konten set replika apa pun kecuali sumber daya bersama folder sysvol. Layanan Replikasi DFS adalah pengganti FRS. Anda dapat menggunakan Replikasi DFS untuk mereplikasi konten sumber daya bersama folder sysvol, folder DFS, dan data kustom (non-sysvol) lainnya. Anda harus memigrasikan semua set replika FRS non-sysvol ke Replikasi DFS.

Untuk informasi selengkapnya, lihat:

Atribut Nilai
SID/RID terkenal S-1-5-32-552
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Admin Skema

Anggota grup Admin Skema dapat mengubah skema Direktori Aktif. Grup ini hanya ada di domain akar forest domain Active Directory. Grup ini adalah grup Universal jika domain berada dalam mode asli. Grup ini adalah grup Global jika domain berada dalam mode campuran.

Grup ini berwenang untuk membuat perubahan skema di Direktori Aktif. Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest. Grup ini memiliki akses administratif penuh ke skema.

Salah satu grup administrator layanan di domain akar dapat mengubah keanggotaan grup ini. Grup ini dianggap sebagai akun administrator layanan karena anggotanya dapat memodifikasi skema, yang mengatur struktur dan konten seluruh direktori.

Untuk informasi selengkapnya, lihat Apa itu skema Direktori Aktif?

Grup Admin Skema berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-21-root< domain-518>
Jenis Universal (jika Domain dalam Mode Asli) global lainnya
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Administrator
Anggota default dari Replikasi Kata Sandi RODC Yang Ditolak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Lihat Replikasi Kata Sandi RODC yang Ditolak

Operator Server

Anggota grup Operator Server dapat mengelola pengendali domain. Grup ini hanya ada pada pengendali domain. Secara default, grup tidak memiliki anggota. Anggota grup Operator Server dapat mengambil tindakan berikut: masuk ke server secara interaktif, membuat dan menghapus sumber daya bersama jaringan, memulai dan menghentikan layanan, mencadangkan dan memulihkan file, memformat hard disk drive komputer, dan mematikan komputer. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Secara default, grup bawaan ini tidak memiliki anggota. Grup ini memiliki akses ke opsi konfigurasi server pada pengendali domain. Keanggotaannya dikendalikan oleh administrator layanan grup Administrator dan Admin Domain di domain, dan oleh grup Admin Perusahaan di domain akar hutan. Anggota dalam grup ini tidak dapat mengubah keanggotaan grup administratif apa pun. Grup ini dianggap sebagai akun administrator layanan karena anggotanya memiliki akses fisik ke pengendali domain. Anggota grup ini dapat melakukan tugas pemeliharaan seperti pencadangan dan pemulihan, dan mereka dapat mengubah biner yang diinstal pada pengendali domain. Lihat hak pengguna default grup dalam tabel berikut.

Grup Operator Server berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-549
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? Ya
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Izinkan log masuk secara lokal: SeInteractiveLogonRight

Mencadangkan file dan direktori: SeBackupPrivilege

Mengubah waktu sistem: SeSystemTimePrivilege

Mengubah zona waktu: SeTimeZonePrivilege

Mematikan paksa dari sistem jarak jauh: SeRemoteShutdownPrivilege

Memulihkan file dan direktori: Memulihkan file dan direktori SeRestorePrivilege

Matikan sistem: SeShutdownPrivilege

Administrator Replika Penyimpanan

Anggota grup Administrator Replika Penyimpanan memiliki akses lengkap dan tidak terbatas ke semua fitur Replika Penyimpanan. Grup Administrator Replika Penyimpanan berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-582
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Akun Terkelola Sistem

Keanggotaan grup Akun Terkelola Sistem dikelola oleh sistem.

Grup Akun Terkelola Sistem berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-581
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Pengguna
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Server Lisensi Server Terminal

Anggota grup Server Lisensi Server Terminal dapat memperbarui akun pengguna di Direktori Aktif dengan informasi tentang penerbitan lisensi. Grup ini digunakan untuk melacak dan melaporkan penggunaan TS Per CAL Pengguna. TS Per Cal Pengguna memberi satu pengguna hak untuk mengakses instans Server Terminal dari sejumlah komputer atau perangkat klien yang tidak terbatas. Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Untuk informasi selengkapnya tentang grup keamanan ini, lihat Konfigurasi grup keamanan Server Lisensi Layanan Terminal.

Grup Server Lisensi Server Terminal berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-561
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Dilindungi oleh AdminSDHolder? No
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? Ya
Hak pengguna default Tidak

Pengguna

Anggota grup Pengguna dicegah untuk membuat perubahan di seluruh sistem yang tidak disengaja atau disengaja. Anggota grup ini dapat menjalankan sebagian besar aplikasi. Setelah penginstalan awal sistem operasi, satu-satunya anggota adalah grup Pengguna Terautentikasi. Saat komputer bergabung dengan domain, grup Pengguna Domain ditambahkan ke grup Pengguna di komputer.

Pengguna dapat melakukan tugas seperti menjalankan aplikasi, menggunakan printer lokal dan jaringan, mematikan komputer, dan mengunci komputer. Pengguna dapat menginstal aplikasi yang hanya dapat mereka gunakan jika program penginstalan aplikasi mendukung penginstalan per pengguna. Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Grup Pengguna berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Grup keamanan ini mencakup perubahan berikut sejak Windows Server 2008:

  • Di Windows Server 2008 R2, Interactive ditambahkan ke daftar anggota default.

  • Di Windows Server 2012, daftar Anggota Default berubah dari Pengguna Domain menjadi tidak ada.

Atribut Nilai
SID/RID terkenal S-1-5-32-545
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Pengguna Terautentikasi

Pengguna Domain

Interaktif

Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? No
Hak pengguna default Tidak

Akses Otorisasi Windows

Anggota grup ini memiliki akses ke atribut GroupsGlobalAndUniversal token komputasi pada objek Pengguna. Beberapa aplikasi memiliki fitur yang membaca atribut token-groups-global-and-universal (TGGAU) pada objek akun pengguna atau pada objek akun komputer di AD DS. Beberapa fungsi Win32 memudahkan untuk membaca atribut TGGAU. Aplikasi yang membaca atribut ini atau yang memanggil API ( fungsi) yang membaca atribut ini tidak berhasil jika konteks keamanan panggilan tidak memiliki akses ke atribut . Grup ini muncul sebagai SID sampai pengendali domain dibuat sebagai pengendali domain utama dan memegang peran master operasi (FSMO). Grup ini tidak dapat diganti namanya, dihapus, atau dihapus.

Grup Akses Otorisasi Windows berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

Atribut Nilai
SID/RID terkenal S-1-5-32-560
Jenis Lokal Bawaan
Kontainer default CN=Builtin, DC=<domain>, DC=
Anggota default Pengendali Domain Perusahaan
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Tidak dapat dipindahkan
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan? Ya
Hak pengguna default Tidak

WinRMRemoteWMIUsers_

Di Windows Server 2012 dan Windows 8, tab Berbagi ditambahkan ke antarmuka pengguna Pengaturan Keamanan Tingkat Lanjut. Tab ini menampilkan properti keamanan berbagi file jarak jauh. Untuk melihat informasi ini, Anda harus memiliki izin dan keanggotaan berikut, yang sesuai untuk versi Windows Server yang dijalankan server file.

Grup WinRMRemoteWMIUsers_ berlaku untuk sistem operasi Windows Server di grup keamanan Direktori Aktif Default.

  • Jika berbagi file dihosting di server yang menjalankan versi sistem operasi yang didukung:

    • Anda harus menjadi anggota grup WinRMRemoteWMIUsers__ atau grup BUILTIN\Administrators.

    • Anda harus memiliki izin Baca ke berbagi file.

  • Jika berbagi file dihosting di server yang menjalankan versi Windows Server yang lebih lama dari Windows Server 2012:

    • Anda harus menjadi anggota grup BUILTIN\Administrators.

    • Anda harus memiliki izin Baca ke berbagi file.

Di Windows Server 2012, fungsionalitas Bantuan Ditolak Akses menambahkan grup Pengguna Terautentikasi ke grup WinRMRemoteWMIUsers__ lokal. Saat fungsionalitas Bantuan Ditolak Akses diaktifkan, semua pengguna terautentikasi yang memiliki izin Baca ke berbagi file dapat melihat izin berbagi file.

Catatan

Grup WinRMRemoteWMIUsers__ memungkinkan menjalankan perintah Windows PowerShell dari jarak jauh. Sebaliknya, Anda biasanya menggunakan grup Pengguna Manajemen Jarak Jauh untuk memungkinkan pengguna mengelola server dengan menggunakan konsol Manajer Server.

Atribut Nilai
SID/RID terkenal S-1-5-21-domain-variable<>< RI>
Jenis Lokal domain
Kontainer default CN=Users, DC=<domain>, DC=
Anggota default Tidak
Anggota default dari Tidak
Dilindungi oleh AdminSDHolder? No
Aman untuk keluar dari kontainer default? Ya
Aman untuk mendelegasikan manajemen grup ini ke admin non-layanan?
Hak pengguna default Tidak

Lihat juga