Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Bijlage B: Bevoegde accounts en groepen in Active Directory
Accounts en groepen met bevoegdheden in Active Directory zijn accounts en groepen waaraan krachtige rechten, bevoegdheden en machtigingen worden verleend waarmee ze vrijwel elke actie kunnen uitvoeren in Active Directory en op systemen die lid zijn van een domein. Deze bijlage begint met het bespreken van rechten, bevoegdheden en machtigingen, gevolgd door informatie over de accounts en groepen met de hoogste bevoegdheid in Active Directory, de krachtigste accounts en groepen.
Er wordt ook informatie gegeven over ingebouwde en standaardaccounts en groepen in Active Directory, naast hun rechten. Hoewel specifieke configuratieaanbevelingen voor het beveiligen van de accounts en groepen met de hoogste bevoegdheden worden aangeboden als afzonderlijke bijlagen, biedt deze bijlage achtergrondinformatie waarmee u de gebruikers en groepen kunt identificeren waarop u zich moet richten voor beveiliging. U moet dit doen omdat ze kunnen worden gebruikt door aanvallers om inbreuk te maken op uw Active Directory-installatie en zelfs te vernietigen.
Rechten, bevoegdheden en machtigingen in Active Directory
De verschillen tussen rechten, machtigingen en bevoegdheden kunnen verwarrend en tegenstrijdig zijn, zelfs in documentatie van Microsoft. In deze sectie worden enkele van de kenmerken van elke sectie beschreven, zoals ze in dit document worden gebruikt. Deze beschrijvingen mogen niet als gezaghebbend worden beschouwd voor andere Microsoft-documentatie, omdat deze voorwaarden mogelijk anders worden gebruikt.
Rechten en bevoegdheden
Rechten en bevoegdheden zijn in feite dezelfde systeembrede mogelijkheden die worden verleend aan beveiligingsprinciplen, zoals gebruikers, services, computers of groepen. In interfaces die doorgaans door IT-professionals worden gebruikt, worden deze meestal 'rechten' of 'gebruikersrechten' genoemd en worden ze vaak toegewezen door Groepsbeleidsobjecten. In de volgende schermopname ziet u enkele van de meest voorkomende gebruikersrechten die kunnen worden toegewezen aan beveiligingsprinciplen (dit vertegenwoordigt het groepsbeleidsobject voor standaarddomeincontrollers in een Windows Server 2012-domein). Some of these rights apply to Active Directory, such as the Enable computer and user accounts to be trusted for delegation user right, while other rights apply to the Windows operating system, such as Change the system time.
In interfaces zoals de Groepsbeleidsobjecteditor worden al deze toewijsbare mogelijkheden algemeen aangeduid als gebruikersrechten. In werkelijkheid worden sommige gebruikersrechten echter programmatisch aangeduid als rechten, terwijl andere programmatisch worden aangeduid als bevoegdheden. Tabel B-1: Gebruikersrechten en -bevoegdheden bieden enkele van de meest voorkomende toewijsbare gebruikersrechten en hun programmatische constanten. Hoewel groepsbeleid en andere interfaces verwijzen naar al deze als gebruikersrechten, worden sommige programmatisch geïdentificeerd als rechten, terwijl anderen worden gedefinieerd als bevoegdheden.
Voor meer informatie over elk van de gebruikersrechten die in de volgende tabel worden vermeld, gebruikt u de koppelingen in de tabel of raadpleegt u de handleiding Bedreigingen en tegenmaatregelen: Gebruikersrechten in de handleiding voor risico's en beveiligingsproblemen voor Windows Server 2008 R2 op de Microsoft TechNet-site. Zie voor informatie die van toepassing is op Windows Server 2008 , gebruikersrechten in de documentatie over bedreigingen en beveiligingsproblemen beperken op de Microsoft TechNet-site. Vanaf het schrijven van dit document is de bijbehorende documentatie voor Windows Server 2012 nog niet gepubliceerd.
Opmerking
Voor de doeleinden van dit document worden de termen 'rechten' en 'gebruikersrechten' gebruikt om rechten en bevoegdheden te identificeren, tenzij anders is opgegeven.
Tabel B-1: Gebruikersrechten en -bevoegdheden
Machtigingen
Machtigingen zijn toegangsbeheer die worden toegepast op beveiligbare objecten, zoals het bestandssysteem, register, service en Active Directory-objecten. Each securable object has an associated access control list (ACL), which contains access control entries (ACEs) that grant or deny security principals (users, services, computers, or groups) the ability to perform various operations on the object. De ACL's voor veel objecten in Active Directory bevatten bijvoorbeeld ACL's waarmee geverifieerde gebruikers algemene informatie over de objecten kunnen lezen, maar ze niet de mogelijkheid bieden om gevoelige informatie te lezen of de objecten te wijzigen. With the exception of each domain's built-in Guest account, every security principal that logs on and is authenticated by a domain controller in an Active Directory forest or a trusted forest has the Authenticated Users Security Identifier (SID) added to its access token by default. Daarom is de leesbewerking geslaagd, ongeacht of een gebruikers-, service- of computeraccount probeert algemene eigenschappen te lezen voor gebruikersobjecten in een domein.
Als een beveiligingsprincipaal probeert toegang te krijgen tot een object waarvoor geen ACL's zijn gedefinieerd en die een SID bevatten die aanwezig is in het toegangstoken van de principal, heeft de principal geen toegang tot het object. Als een ACE in de ACL van een object bovendien een weigeringsvermelding bevat voor een SID die overeenkomt met het toegangstoken van de gebruiker, over het algemeen overschrijft de 'deny' ACE een conflicterende 'allow' ACE. Zie Toegangsbeheer op de MSDN-website voor meer informatie over toegangsbeheer in Windows.
In dit document verwijzen machtigingen naar mogelijkheden die aan beveiligingsprinciplen voor beveiligbare objecten worden verleend of geweigerd. Wanneer er een conflict is tussen een gebruikersrecht en een machtiging, heeft het gebruikersrecht in het algemeen voorrang. Als een object in Active Directory bijvoorbeeld is geconfigureerd met een ACL die beheerders alle lees- en schrijftoegang tot een object weigert, kan een gebruiker die lid is van de groep Administrators van het domein, niet veel informatie over het object weergeven. Omdat de groep Administrators echter het gebruikersrecht 'Eigenaar worden van bestanden of andere objecten' krijgt, kan de gebruiker gewoon eigenaar worden van het betreffende object en vervolgens de ACL van het object herschrijven om beheerders volledige controle over het object te verlenen.
Daarom moedigt dit document u aan om te voorkomen dat u krachtige accounts en groepen gebruikt voor dagelijkse administratie, in plaats van de mogelijkheden van de accounts en groepen te beperken. Het is niet effectief mogelijk om te voorkomen dat een bepaalde gebruiker die toegang heeft tot krachtige referenties, deze referenties gebruikt om toegang te krijgen tot een beveiligbare resource.
Built-in Privileged Accounts and Groups
Active Directory is bedoeld om delegering van het beheer en het beginsel van minimale bevoegdheden bij het toewijzen van rechten en machtigingen te vergemakkelijken. 'Reguliere' gebruikers met accounts in een Active Directory-domein kunnen standaard veel van wat is opgeslagen in de directory lezen, maar kunnen slechts een zeer beperkte set gegevens in de directory wijzigen. Gebruikers die extra bevoegdheden nodig hebben, kunnen lid worden van verschillende bevoorrechte groepen die zijn ingebouwd in de directory, zodat ze specifieke taken met betrekking tot hun rollen kunnen uitvoeren, maar kunnen geen taken uitvoeren die niet relevant zijn voor hun taken.
In Active Directory zijn er drie ingebouwde groepen die bestaan uit de groepen met hoogste bevoegdheden in de directory, plus een vierde groep, de groep SchemaAdministrators (SA):
De groep SchemaAdministrators (SA) heeft bevoegdheden die, indien misbruikt, een volledig Active Directory-forest kunnen beschadigen of vernietigen, maar deze groep is beperkter in de mogelijkheden dan de EA-, DA- en BA-groepen.
Naast deze vier groepen zijn er een aantal extra ingebouwde en standaardaccounts en -groepen in Active Directory, die elk rechten en machtigingen krijgen waarmee specifieke beheertaken kunnen worden uitgevoerd. Hoewel deze bijlage geen grondige bespreking biedt van elke ingebouwde of standaardgroep in Active Directory, biedt het wel een tabel met de groepen en accounts die u waarschijnlijk in uw installaties zult zien.
Als u Bijvoorbeeld Microsoft Exchange Server in een Active Directory-forest installeert, kunnen er extra accounts en groepen worden gemaakt in de containers Ingebouwde en Gebruikers in uw domeinen. In deze bijlage worden alleen de groepen en accounts beschreven die zijn gemaakt in de ingebouwde containers en gebruikerscontainers in Active Directory, op basis van systeemeigen rollen en functies. Accounts en groepen die zijn gemaakt door de installatie van bedrijfssoftware, zijn niet opgenomen.
Enterprise-beheerders
De groep Ondernemingsadministrators (EA) bevindt zich in het foresthoofddomein en is standaard lid van de ingebouwde groep Administrators in elk domein in het forest. Het ingebouwde administratoraccount in het foresthoofddomein is het enige standaardlid van de EA-groep. EA's krijgen rechten en machtigingen waarmee ze invloed kunnen hebben op wijzigingen in de hele forest. Dit zijn wijzigingen die van invloed zijn op alle domeinen in het forest, zoals het toevoegen of verwijderen van domeinen, het tot stand brengen van forestvertrouwensrelaties of het verhogen van functionele forestniveaus. In a properly designed and implemented delegation model, EA membership is required only when first constructing the forest or when making certain forest-wide changes such as establishing an outbound forest trust.
De EA-groep bevindt zich standaard in de container Gebruikers in het hoofddomein forest en is een universele beveiligingsgroep, tenzij het foresthoofddomein wordt uitgevoerd in de gemengde modus van Windows 2000 Server, in welk geval de groep een globale beveiligingsgroep is. Hoewel sommige rechten rechtstreeks aan de EA-groep worden verleend, worden veel van de rechten van deze groep daadwerkelijk overgenomen door de EA-groep omdat deze lid is van de groep Administrators in elk domein in het forest. Ondernemingsbeheerders hebben geen standaardrechten op werkstations of lidservers.
Domeinbeheerders
Elk domein in een forest heeft een eigen DA-groep (Domain Admins), die lid is van de ingebouwde groep Administrators (BA) van dat domein, naast een lid van de lokale groep Administrators op elke computer die lid is van het domein. Het enige standaardlid van de DA-groep voor een domein is het ingebouwde administratoraccount voor dat domein.
DA's zijn almachtig binnen hun domeinen, terwijl EA's rechten over het gehele bos hebben. In een correct ontworpen en geïmplementeerd overdrachtsmodel moet DA-lidmaatschap alleen vereist zijn in scenario's met 'break glass', die situaties zijn waarin een account met hoge bevoegdheden op elke computer in het domein nodig is, of wanneer bepaalde domeinbrede wijzigingen moeten worden aangebracht. Hoewel systeemeigen Active Directory-delegeringsmechanismen toestaan voor zover het mogelijk is DA-accounts alleen in noodscenario's te gebruiken, kan het maken van een effectief delegatiemodel tijdrovend zijn en veel organisaties gebruiken toepassingen van derden om het proces te versnellen.
De DA-groep is een globale beveiligingsgroep in de container Gebruikers voor het domein. Er is één DA-groep voor elk domein in het forest en het enige standaardlid van een DA-groep is het ingebouwde administratoraccount van het domein. Omdat de DA-groep van een domein is genest in de BA-groep van het domein en de lokale groep Administrators van elk domeinsysteem, hebben DA's niet alleen machtigingen die specifiek worden verleend aan domeinadministrators, maar ze nemen ook alle rechten en machtigingen over die zijn verleend aan de groep Administrators van het domein en de lokale groep Administrators op alle systemen die zijn toegevoegd aan het domein.
Beheerders
De ingebouwde groep Administrators (BA) is een lokale domeingroep in de ingebouwde container van een domein waarin DA's en EA's zijn genest, en deze groep krijgt veel van de directe rechten en machtigingen in de directory en op domeincontrollers. De groep Administrators voor een domein heeft echter geen bevoegdheden op lidservers of op werkstations. Lidmaatschap van de lokale groep Administrators van computers die lid zijn van een domein, is waar lokale bevoegdheden worden verleend; en van de groepen die worden besproken, zijn alleen DA's standaard lid van de lokale beheerdersgroepen van alle computers die lid zijn van een domein.
De groep Administrators is een domein-lokale groep in de ingebouwde container van het domein. Standaard bevat de BA-groep van elk domein het ingebouwde administratoraccount van het lokale domein, de DA-groep van het lokale domein en de EA-groep van het foresthoofddomein. Veel gebruikersrechten in Active Directory en op domeincontrollers worden specifiek verleend aan de groep Administrators, niet aan EA's of CA's. De BA-groep van een domein krijgt volledige controlemachtigingen voor de meeste mapobjecten en kan eigenaar worden van mapobjecten. Although EA and DA groups are granted certain object-specific permissions in the forest and domains, much of the power of groups is actually "inherited" from their membership in BA groups.
Opmerking
Hoewel dit de standaardconfiguraties van deze bevoegde groepen zijn, kan een lid van een van de drie groepen de directory bewerken om lid te worden van een van de andere groepen. In sommige gevallen is het triviaal om te bereiken, terwijl in andere gevallen het moeilijker is, maar vanuit het perspectief van potentiële bevoegdheden moeten alle drie de groepen effectief gelijkwaardig worden beschouwd.
Schemabeheerders
De groep SchemaAdministrators (SA) is een universele groep in het hoofddomein van het forest en heeft alleen het ingebouwde administratoraccount van dat domein als standaardlid, vergelijkbaar met de EA-groep. Hoewel lidmaatschap van de SA-groep kan toestaan dat een aanvaller inbreuk maakt op het Active Directory-schema, wat het framework is voor het hele Active Directory-forest, hebben SA's weinig standaardrechten en machtigingen buiten het schema.
U moet het lidmaatschap van de SA-groep zorgvuldig beheren en controleren, maar in sommige opzichten is deze groep 'minder bevoegd' dan de drie groepen met hoogste bevoegdheden die eerder zijn beschreven, omdat het bereik van de bevoegdheid zeer beperkt is; Dat wil gezegd, SA's hebben geen andere beheerdersrechten dan het schema.
Aanvullende ingebouwde en standaardgroepen in Active Directory
Om het delegeren van beheer in de directory te vergemakkelijken, wordt Active Directory geleverd met verschillende ingebouwde en standaardgroepen waaraan specifieke rechten en machtigingen zijn verleend. Deze groepen worden kort beschreven in de volgende tabel.
De volgende tabel bevat de ingebouwde en standaardgroepen in Active Directory. Beide sets groepen bestaan standaard; Ingebouwde groepen bevinden zich echter (standaard) in de ingebouwde container in Active Directory, terwijl standaardgroepen zich (standaard) bevinden in de container Gebruikers in Active Directory. Groepen in de ingebouwde container zijn allemaal lokale domeingroepen, terwijl groepen in de container Gebruikers een combinatie zijn van domein lokale, globale en universele groepen, naast drie afzonderlijke gebruikersaccounts (Beheerder, Gast en Krbtgt).
Naast de groepen met hoogste bevoegdheden die eerder in deze bijlage zijn beschreven, krijgen sommige ingebouwde en standaardaccounts en groepen verhoogde bevoegdheden en moeten ze ook worden beveiligd en alleen worden gebruikt op beveiligde beheerhosts. Deze groepen en accounts vindt u in de gearceerde rijen in tabel B-1: ingebouwde en standaardgroepen en accounts in Active Directory. Omdat sommige van deze groepen en accounts rechten en machtigingen krijgen die kunnen worden misbruikt om Active Directory of domeincontrollers in gevaar te krijgen, krijgen ze aanvullende beveiliging zoals beschreven in bijlage C: Beveiligde accounts en groepen in Active Directory.
Tabel B-1: ingebouwde en standaardaccounts en groepen in Active Directory
| Account or Group | Standaardcontainer, groepsbereik en -type | Beschrijving en standaardgebruikersrechten |
|---|---|---|
| Hulpoperators voor toegangsbeheer (Active Directory in Windows Server 2012) | Built-in container Domain-local security group |
Leden van deze groep kunnen op afstand query's uitvoeren op autorisatiekenmerken en machtigingen voor resources op deze computer. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Account Operators | Built-in container Domain-local security group |
Leden kunnen domeingebruikers- en groepsaccounts beheren. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Beheerdersaccount | Gebruikerscontainer Geen groep |
Ingebouwd account voor het beheren van het domein. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Geheugenquota aanpassen voor een proces Lokaal aanmelden toestaan Allow log on through Remote Desktop Services Back-ups maken van bestanden en mappen Bypass traverse checking De systeemtijd wijzigen De tijdzone wijzigen Een paginabestand maken Globale objecten maken Symbolische koppelingen maken Debuggen van programma's Enable computer and user accounts to be trusted for delegation Force shutdown from a remote system Impersonate a client after authentication Increase a process working set Prioriteit verhogen voor planning Apparaatstuurprogramma's laden en verwijderen Log on as a batch job Controle en beveiligingslogboek beheren Omgevingswaarden in firmware wijzigen Onderhoudstaken op volume uitvoeren Profile single process Systeemprestaties profileren Computer uit basisstation verwijderen Restore files and directories Het systeem afsluiten Eigenaar worden van bestanden of andere objecten |
| Beheerdersgroep | Built-in container Domain-local security group |
Beheerders hebben volledige en onbeperkte toegang tot het domein. Directe gebruikersrechten: Toegang tot deze computer vanaf het netwerk Geheugenquota aanpassen voor een proces Lokaal aanmelden toestaan Allow log on through Remote Desktop Services Back-ups maken van bestanden en mappen Bypass traverse checking De systeemtijd wijzigen De tijdzone wijzigen Een paginabestand maken Globale objecten maken Symbolische koppelingen maken Debuggen van programma's Enable computer and user accounts to be trusted for delegation Force shutdown from a remote system Impersonate a client after authentication Prioriteit verhogen voor planning Apparaatstuurprogramma's laden en verwijderen Log on as a batch job Controle en beveiligingslogboek beheren Omgevingswaarden in firmware wijzigen Onderhoudstaken op volume uitvoeren Profile single process Systeemprestaties profileren Computer uit basisstation verwijderen Restore files and directories Het systeem afsluiten Eigenaar worden van bestanden of andere objecten Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Toegestane RODC-wachtwoordreplicatiegroep | Gebruikerscontainer Domain-local security group |
Members in this group can have their passwords replicated to all read-only domain controllers in the domain. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Backup Operators | Built-in container Domain-local security group |
Back-upoperators kunnen beveiligingsbeperkingen overschrijven voor het maken van back-ups of het herstellen van bestanden. Directe gebruikersrechten: Lokaal aanmelden toestaan Back-ups maken van bestanden en mappen Log on as a batch job Restore files and directories Het systeem afsluiten Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Cert Publishers | Gebruikerscontainer Domain-local security group |
Leden van deze groep mogen certificaten publiceren naar de directory. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Certificate Service DCOM Access | Built-in container Domain-local security group |
If Certificate Services is installed on a domain controller (not recommended), this group grants DCOM enrollment access to Domain Users and Domain Computers. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Cloneable Domain Controllers (AD DS in Windows Server 2012AD DS) | Gebruikerscontainer Wereldwijde beveiligingsgroep |
Leden van deze groep die domeincontrollers zijn, kunnen worden gekloond. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Cryptographic Operators | Built-in container Domain-local security group |
Leden zijn gemachtigd om cryptografische bewerkingen uit te voeren. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Gebruikers van foutopsporingsprogramma | Dit is geen standaardgroep of een ingebouwde groep, maar als deze aanwezig is in AD DS, is dit oorzaak voor verder onderzoek. | De aanwezigheid van een gebruikersgroep Foutopsporingsprogramma's geeft aan dat foutopsporingsprogramma's op een bepaald moment op het systeem zijn geïnstalleerd, of dit nu via Visual Studio, SQL, Office of andere toepassingen die een foutopsporingsomgeving vereisen en ondersteunen. Deze groep staat externe foutopsporingstoegang tot computers toe. Wanneer deze groep op domeinniveau bestaat, geeft dit aan dat een foutopsporingsprogramma of een toepassing met een foutopsporingsprogramma is geïnstalleerd op een domeincontroller. |
| Denied RODC Password Replication Group | Gebruikerscontainer Domain-local security group |
Members in this group cannot have their passwords replicated to any read-only domain controllers in the domain. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| DHCP-beheerders | Gebruikerscontainer Domain-local security group |
Leden van deze groep hebben beheerderstoegang tot de DHCP Server-service. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| DHCP-gebruikers | Gebruikerscontainer Domain-local security group |
Members of this group have view-only access to the DHCP Server service. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Gedistribueerde COM-gebruikers | Built-in container Domain-local security group |
Leden van deze groep mogen gedistribueerde COM-objecten op deze computer starten, activeren en gebruiken. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| DnsAdmins | Gebruikerscontainer Domain-local security group |
Leden van deze groep hebben beheerderstoegang tot de DNS Server-service. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| DnsUpdateProxy | Gebruikerscontainer Wereldwijde beveiligingsgroep |
Leden van deze groep zijn DNS-clients die dynamische updates mogen uitvoeren namens clients die zelf geen dynamische updates kunnen uitvoeren. Leden van deze groep zijn doorgaans DHCP-servers. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Domeinbeheerders | Gebruikerscontainer Wereldwijde beveiligingsgroep |
Aangewezen beheerders van het domein; Domeinadministrators is lid van de lokale groep Administrators van elke computer die lid is van een domein en ontvangt rechten en machtigingen die zijn verleend aan de lokale groep Administrators, naast de groep Administrators van het domein. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Geheugenquota aanpassen voor een proces Lokaal aanmelden toestaan Allow log on through Remote Desktop Services Back-ups maken van bestanden en mappen Bypass traverse checking De systeemtijd wijzigen De tijdzone wijzigen Een paginabestand maken Globale objecten maken Symbolische koppelingen maken Debuggen van programma's Enable computer and user accounts to be trusted for delegation Force shutdown from a remote system Impersonate a client after authentication Increase a process working set Prioriteit verhogen voor planning Apparaatstuurprogramma's laden en verwijderen Log on as a batch job Controle en beveiligingslogboek beheren Omgevingswaarden in firmware wijzigen Onderhoudstaken op volume uitvoeren Profile single process Systeemprestaties profileren Computer uit basisstation verwijderen Restore files and directories Het systeem afsluiten Eigenaar worden van bestanden of andere objecten |
| Domain Computers | Gebruikerscontainer Wereldwijde beveiligingsgroep |
Alle werkstations en servers die lid zijn van het domein, zijn standaard leden van deze groep. Standaardrechten voor directe gebruikers: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Domain Controllers | Gebruikerscontainer Wereldwijde beveiligingsgroep |
Alle domeincontrollers in het domein. Opmerking: domeincontrollers zijn geen lid van de groep Domeincomputers. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Domain Guests | Gebruikerscontainer Wereldwijde beveiligingsgroep |
Alle gasten in het domein Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Domeingebruikers | Gebruikerscontainer Wereldwijde beveiligingsgroep |
Alle gebruikers in het domein Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Enterprise Admins (exists only in forest root domain) | Gebruikerscontainer Universele beveiligingsgroep |
Ondernemingsbeheerders hebben machtigingen om configuratie-instellingen voor het hele forest te wijzigen; Ondernemingsadministrators is lid van de groep Administrators van elk domein en ontvangt rechten en machtigingen die aan die groep zijn verleend. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Geheugenquota aanpassen voor een proces Lokaal aanmelden toestaan Allow log on through Remote Desktop Services Back-ups maken van bestanden en mappen Bypass traverse checking De systeemtijd wijzigen De tijdzone wijzigen Een paginabestand maken Globale objecten maken Symbolische koppelingen maken Debuggen van programma's Enable computer and user accounts to be trusted for delegation Force shutdown from a remote system Impersonate a client after authentication Increase a process working set Prioriteit verhogen voor planning Apparaatstuurprogramma's laden en verwijderen Log on as a batch job Controle en beveiligingslogboek beheren Omgevingswaarden in firmware wijzigen Onderhoudstaken op volume uitvoeren Profile single process Systeemprestaties profileren Computer uit basisstation verwijderen Restore files and directories Het systeem afsluiten Eigenaar worden van bestanden of andere objecten |
| Enterprise Read-only Domain Controllers | Gebruikerscontainer Universele beveiligingsgroep |
This group contains the accounts for all read-only domain controllers in the forest. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Lezers van gebeurtenislogboeken | Built-in container Domain-local security group |
Leden van deze groep in kunnen de gebeurtenislogboeken op domeincontrollers lezen. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Group Policy Creator Owners | Gebruikerscontainer Wereldwijde beveiligingsgroep |
Leden van deze groep kunnen groepsbeleidsobjecten maken en wijzigen in het domein. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Guest | Gebruikerscontainer Geen groep |
Dit is het enige account in een AD DS-domein waarop de geverifieerde gebruikers-SID niet aan zijn toegangstoken is toegevoegd. Daarom zijn alle resources die zijn geconfigureerd voor het verlenen van toegang tot de groep Geverifieerde gebruikers, niet toegankelijk voor dit account. Dit gedrag geldt niet voor leden van de groepen Domeingasten en Gasten, maar leden van deze groepen hebben de geverifieerde gebruikers-SID toegevoegd aan hun toegangstokens. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Bypass traverse checking Increase a process working set |
| Gasten | Built-in container Domain-local security group |
Gasten hebben standaard dezelfde toegang als leden van de groep Gebruikers, met uitzondering van het gastaccount, wat verder beperkt is zoals eerder beschreven. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Hyper-V-beheerders (Windows Server 2012) | Built-in container Domain-local security group |
Leden van deze groep hebben volledige en onbeperkte toegang tot alle functies van Hyper-V. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| IIS_IUSRS | Built-in container Domain-local security group |
Ingebouwde groep die wordt gebruikt door Internet Information Services. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Incoming Forest Trust Builders (exists only in forest root domain) | Built-in container Domain-local security group |
Members of this group can create incoming, one-way trusts to this forest. (Creation of outbound forest trusts is reserved for Enterprise Admins.) Members of this group can create incoming trusts that allow TGT delegation which can lead to compromise of your forest. To learn more about TGT delegation across incoming trust, Updates to TGT delegation across incoming trusts in Windows Server. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Krbtgt | Gebruikerscontainer Geen groep |
Het Krbtgt-account is het serviceaccount voor het Kerberos-sleuteldistributiecentrum in het domein. Dit account heeft toegang tot de inloggegevens van alle accounts die zijn opgeslagen in Active Directory. Dit account is standaard uitgeschakeld en mag nooit worden ingeschakeld User rights: N/A |
| Netwerkconfiguratieoperators | Built-in container Domain-local security group |
Leden van deze groep krijgen bevoegdheden waarmee ze de configuratie van netwerkfuncties kunnen beheren. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Gebruikers van prestatielogboeken | Built-in container Domain-local security group |
Leden van deze groep kunnen logboekregistratie van prestatiemeteritems plannen, traceringsproviders inschakelen en gebeurtenistraceringen lokaal en via externe toegang tot de computer verzamelen. Directe gebruikersrechten: Log on as a batch job Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Prestatiemetergebruikers | Built-in container Domain-local security group |
Leden van deze groep hebben lokaal en extern toegang tot prestatiemeteritems. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Pre-Windows 2000 Compatible Access | Built-in container Domain-local security group |
Deze groep bestaat voor achterwaartse compatibiliteit met besturingssystemen vóór Windows 2000 Server en biedt leden de mogelijkheid om gebruikers- en groepsinformatie in het domein te lezen. Directe gebruikersrechten: Toegang tot deze computer vanaf het netwerk Bypass traverse checking Overgenomen gebruikersrechten: Werkstations toevoegen aan domein Increase a process working set |
| Afdrukoperators | Built-in container Domain-local security group |
Leden van deze groep kunnen domeinprinters beheren. Directe gebruikersrechten: Lokaal aanmelden toestaan Apparaatstuurprogramma's laden en verwijderen Het systeem afsluiten Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| RAS and IAS Servers | Gebruikerscontainer Domain-local security group |
Servers in deze groep kunnen externe toegangseigenschappen van gebruikersaccounts in het domein lezen. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| RDS-eindpuntservers (Windows Server 2012) | Built-in container Domain-local security group |
Servers in deze groep voeren virtuele machines uit en hosten sessies waarin de RemoteApp-programma's en persoonlijke virtuele bureaubladen van gebruikers worden uitgevoerd. Deze groep moet worden ingevuld op servers waarop RD Connection Broker wordt uitgevoerd. RD Session Host-servers en RD Virtualization Host-servers die in de implementatie worden gebruikt, moeten zich in deze groep bevinden. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| RDS-beheerservers (Windows Server 2012) | Built-in container Domain-local security group |
Servers in deze groep kunnen routinebeheeracties uitvoeren op servers waarop Extern bureaublad-services worden uitgevoerd. This group needs to be populated on all servers in a Remote Desktop Services deployment. De servers waarop de RDS Central Management-service wordt uitgevoerd, moeten worden opgenomen in deze groep. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| RDS Remote Access Servers (Windows Server 2012) | Built-in container Domain-local security group |
Servers in deze groep maken gebruikers van RemoteApp-programma's en persoonlijke virtuele bureaubladen toegang tot deze resources mogelijk. In internetgerichte implementaties worden deze servers doorgaans geïmplementeerd in een edge-netwerk. Deze groep moet worden ingevuld op servers waarop RD Connection Broker wordt uitgevoerd. RD Gateway-servers en RD Web Access-servers die in de implementatie worden gebruikt, moeten zich in deze groep bevinden. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Read-only Domain Controllers | Gebruikerscontainer Wereldwijde beveiligingsgroep |
This group contains all read-only domain controllers in the domain. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Gebruikers van extern bureaublad | Built-in container Domain-local security group |
Leden van deze groep krijgen het recht om zich op afstand aan te melden met behulp van RDP. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Gebruikers van extern beheer (Windows Server 2012) | Built-in container Domain-local security group |
Leden van deze groep hebben toegang tot WMI-resources via beheerprotocollen (zoals WS-Management via de Windows Remote Management-service). Dit geldt alleen voor WMI-naamruimten die toegang verlenen tot de gebruiker. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Replicator | Built-in container Domain-local security group |
Ondersteunt verouderde bestandsreplicatie in een domein. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Schema Admins (exists only in forest root domain) | Gebruikerscontainer Universele beveiligingsgroep |
Schemabeheerders zijn de enige gebruikers die wijzigingen kunnen aanbrengen in het Active Directory-schema en alleen als het schema is ingeschakeld voor schrijven. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Server Operators | Built-in container Domain-local security group |
Leden van deze groep kunnen domeincontrollers beheren. Directe gebruikersrechten: Lokaal aanmelden toestaan Back-ups maken van bestanden en mappen De systeemtijd wijzigen De tijdzone wijzigen Force shutdown from a remote system Restore files and directories Het systeem afsluiten Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Terminal Server License Servers | Built-in container Domain-local security group |
Leden van deze groep kunnen gebruikersaccounts in Active Directory bijwerken met informatie over licentieuitgifte, voor het bijhouden en rapporteren van TS per gebruikers-CAL-gebruik Standaardrechten voor directe gebruikers: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| Gebruikers | Built-in container Domain-local security group |
Gebruikers hebben machtigingen waarmee ze veel objecten en kenmerken in Active Directory kunnen lezen, hoewel ze het meeste niet kunnen wijzigen. Gebruikers kunnen geen onbedoelde of opzettelijke wijzigingen in het hele systeem aanbrengen en de meeste toepassingen uitvoeren. Directe gebruikersrechten: Increase a process working set Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking |
| Toegangsgroep voor Windows-autorisatie | Built-in container Domain-local security group |
Leden van deze groep hebben toegang tot het berekende tokenGroupsGlobalAndUniversal-kenmerk voor gebruikersobjecten Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | Gebruikerscontainer Domain-local security group |
Leden van deze groep hebben toegang tot WMI-resources via beheerprotocollen (zoals WS-Management via de Windows Remote Management-service). Dit geldt alleen voor WMI-naamruimten die toegang verlenen tot de gebruiker. Directe gebruikersrechten: Geen Overgenomen gebruikersrechten: Toegang tot deze computer vanaf het netwerk Werkstations toevoegen aan domein Bypass traverse checking Increase a process working set |