Какие принтеры член группы безопасности имеет право добавлять по умолчанию
Обновлено: 29.06.2024
Как мы видели при обсуждении объектов пользователей, при установке Active Directory автоматически создается ряд встроенных учетных записей. Это относится не только к учетным записям пользователей, но и к групповым учетным записям. Многие из этих групп имеют предварительно настроенные права, которые позволяют членам выполнять определенные задачи. Когда пользователи добавляются в эти группы, им предоставляются эти права в дополнение к любым назначенным разрешениям на доступ к ресурсам.
К группам, созданным при установке Active Directory, можно получить доступ через пользователей и компьютеры Active Directory, и они расположены в двух контейнерах: встроенные и пользователи. Хотя они хранятся в этих контейнерах, их можно перемещать в другие подразделения домена. Те, что находятся во встроенном контейнере, имеют локальную область домена, а те, что в контейнере пользователей, имеют локальную, глобальную или универсальную область домена. В следующих абзацах мы рассмотрим отдельные группы, расположенные в каждом из этих контейнеров, и посмотрим, какие права они имеют для выполнения задач, связанных с сетью.
Группы по умолчанию во встроенном контейнере
До 14 различных встроенных групп, которые по умолчанию могут располагаться в контейнере Builtin, в том числе:
■ Операторы учетных записей, которые позволяют участникам управлять учетными записями
■ Администраторы, предоставляющие участникам полный доступ
■ Операторы резервного копирования, которые позволяют участникам создавать резервные копии и восстанавливать файлы
■ Гости, что дает участникам минимальный доступ
■ Построители входящих доверительных отношений леса, которые доступны только в корневых доменах леса и дают участникам разрешение на создание входящих доверительных отношений леса
■ Операторы настройки сети, которые позволяют участникам управлять настройками сети
■ Пользователи монитора производительности, что позволяет пользователям управлять счетчиками производительности и использовать системный монитор
■ Пользователи журнала производительности, что позволяет пользователям управлять счетчиками производительности и использовать журналы производительности и оповещения
■ Доступ, совместимый с версиями до Windows 2000, который используется для обратной совместимости
■ Операторы печати, которые позволяют участникам управлять принтерами
■ Пользователи удаленного рабочего стола, что позволяет участникам подключаться к серверам с помощью удаленного рабочего стола
■ Репликатор, который используется для репликации
■ Операторы сервера, которые позволяют участникам управлять серверами
■ Пользователи, который содержит все учетные записи пользователей, созданные в домене
Группа «Операторы учетных записей» позволяет участникам управлять группой. Пользователи, входящие в его состав, имеют возможность создавать, изменять и удалять многие учетные записи, хранящиеся в Active Directory. Они могут управлять учетными записями в любой организационной единице, кроме организационной единицы «Контроллеры домена» или в контейнерах «Пользователи» или «Компьютеры». Чтобы члены этой группы не влияли на учетные записи администраторов, члены группы «Операторы учетных записей» не могут изменять группы «Администраторы» и «Администраторы домена» или любые учетные записи, являющиеся членами этих групп.
Члены группы «Операторы учетных записей» также имеют определенные возможности при работе с контроллерами домена в домене, в котором находится эта группа. Это. При этом они могут вносить изменения в контроллер домена. У них также есть возможность выключить контроллер домена, что полезно, если есть проблема с контроллером домена, и никто другой не может перезапустить систему.
Группа «Администраторы» является самой мощной из групп в контейнере «Встроенный» и имеет полный контроль над доменом. Эта учетная запись может получать доступ к контроллерам домена по сети, создавать резервные копии файлов и каталогов, изменять системное время, настраивать кавычки памяти, создавать файлы подкачки, загружать и выгружать драйверы устройств, делегировать ответственность пользователям и компьютерам, выключать систему и выполнять другие задачи, связанные с учетными записями и контроллерами домена. По умолчанию группы «Администраторы домена» и «Администраторы предприятия» и учетная запись «Администратор» являются членами группы «Администраторы».
Группа «Операторы резервного копирования» используется для предоставления участникам возможности резервного копирования и восстановления файлов на контроллерах домена. Неважно, какие у участника права доступа к разным файлам, поскольку они могут создавать резервные копии и восстанавливать любые файлы в системе. Кроме того, у них есть возможность локального входа в контроллеры домена и завершения работы системы. Из-за уровня способностей, приписываемых членам этой группы, по умолчанию при ее первом создании участников нет.
Группа "Гости" – это наименее мощная группа в контейнере "Встроенный". Членство в ней состоит из учетных записей и групп для людей, которым требуется минимальный доступ или которые не вошли в систему со своими собственными учетными записями. Учетная запись «Гость» и группа «Гости домена» являются членами этой группы. Как вы помните, гостевая учетная запись по умолчанию отключена, а это означает, что при первоначальном создании этой группы в ней нет активных пользователей.
Из-за своего назначения группа Incoming Forest Trust Builders доступна только в корневых доменах леса. Члены этой группы имеют разрешение на создание входящих доверительных отношений между лесами. Это разрешение дает им возможность создавать односторонние входящие доверительные отношения между лесами, которые могут быть созданы только между корневыми доменами двух лесов. Одностороннее доверие означает, что пользователи из одного леса могут получить доступ к ресурсам в другом лесу, но не наоборот. Из-за возможности создавать доверительные отношения между двумя доменами при первоначальном создании в этой группе нет членов по умолчанию.
Как следует из названия, группа операторов конфигурации сети используется для управления изменениями сетевых настроек. Члены этой группы имеют возможность обновлять и освобождать IP-адреса на серверах в домене, а также изменять настройки TCP/IP. Поскольку это может сделать сервер недоступным, если сделать это неправильно, в этой группе нет участников по умолчанию, и новых участников следует добавлять с осторожностью.
Члены групп пользователей монитора производительности и пользователей журнала производительности используются для управления счетчиками производительности на серверах в домене. Счетчики производительности используются для мониторинга и измерения элементов контроллера домена, таких как память, жесткий диск, процессор, сетевая активность и т. д. Эти утилиты используются двумя родственными утилитами в Windows 2000 и Windows Server 2003: системный монитор и журналы производительности и оповещения. Доступ к обеим этим утилитам можно получить через консоль производительности, доступную в разделе «Администрирование» в меню «Пуск» Windows.
Члены группы пользователей монитора производительности могут использовать системный монитор для наблюдения за счетчиками производительности. Они могут просматривать счетчики локально или удаленно, просматривая их в графическом или текстовом формате. Таким образом они могут определить, существуют ли проблемы с производительностью на серверах в домене.
Члены группы «Пользователи журналов производительности» также могут управлять счетчиками производительности, но могут использовать утилиту «Журналы производительности и оповещения» для создания и просмотра журналов, а также для настройки оповещений, которые будут уведомлять определенных пользователей (например, администраторов) в случае возникновения проблемы. существует. Например, если объем свободного места на жестком диске падает ниже определенного уровня, сетевому администратору может быть отправлено сообщение о возможной проблеме. Члены этой группы также могут настраивать определенные программы для запуска, если значения счетчиков производительности превышают или опускаются ниже определенного параметра.
Группа доступа, совместимая с версиями до Windows 2000, используется для обратной совместимости со старыми версиями Windows. Члены этой группы имеют доступ на чтение для просмотра всех пользователей и групп в домене. В зависимости от параметров безопасности, выбранных при установке Active Directory, группа «Все» может быть членом этой группы; однако при необходимости можно добавить дополнительных участников, работающих под управлением Windows NT 4.0 или более ранней версии.
Группа «Операторы печати» позволяет участникам выполнять задачи, необходимые для администрирования принтеров. Пользователи, являющиеся членами этой группы, могут управлять объектами принтеров в Active Directory, а также создавать, совместно использовать, управлять и удалять принтеры, подключенные к контроллерам домена в домене. Поскольку добавление новых принтеров на сервер может потребовать выполнения определенных действий, таких как перезагрузка компьютера, эта группа также имеет возможность загружать и выгружать драйверы устройств и выключать систему. Как и в случае с другими группами, обсуждаемыми в этом разделе, в группу «Операторы принтера» при первоначальном создании не было добавлено ни одного участника.
Группа пользователей удаленного рабочего стола позволяет членам удаленно подключаться к серверам в домене. Возможность удаленного входа в DC позволяет им выполнять действия, как если бы они физически сидели на сервере и работали на нем. Из-за того, что эта группа наделяет членов полномочиями, в ней нет участников по умолчанию.
В группу Replicator никогда не следует добавлять пользователей. Эта группа используется службой репликации файлов (FRS) и обеспечивает поддержку репликации данных; следовательно, пользователи не должны быть участниками.
Группа «Операторы сервера» предоставляет большое количество возможностей для своего членства, поэтому при ее первоначальном создании нет членов по умолчанию. Члены этой группы могут выполнять ряд административных задач на серверах домена, включая создание и удаление общих ресурсов, резервное копирование и восстановление файлов, запуск и останов служб, завершение работы системы и даже форматирование жестких дисков. Поскольку участники могут нанести значительный ущерб контроллеру домена, пользователей следует добавлять в эту группу с осторожностью.
В группу "Пользователи" входят все учетные записи пользователей, созданные в домене как часть его членства. По умолчанию в эту группу входят группы «Пользователи домена», «Прошедшие проверку» и «Интерактивные пользователи». Члены этой группы могут запускать приложения, получать доступ к локальным и сетевым принтерам и выполнять другие общие задачи, необходимые для нормальной работы.
Группы по умолчанию в пользовательском контейнере
Помимо групп, которые мы обсуждали, до 13 встроенных групп могут быть расположены по умолчанию в контейнере пользователей, в том числе:
■ DnsAdmins, предоставляющий административный доступ к службе DNS-сервера
■ DnsUpdateProxy, который предоставляет участникам возможность выполнять динамические обновления для других клиентов
■ Администраторы домена, предоставляющие участникам полный контроль над доменом
■ Компьютеры домена, включая компьютеры, входящие в домен
■ Контроллеры домена, включая контроллеры домена
■ Гости домена, включая гостей домена
■ Пользователи домена, включая пользователей домена
■ Администраторы предприятия, которые дают полный контроль над каждым доменом в лесу
■ Владельцы-создатели групповой политики, которые позволяют участникам управлять групповыми политиками в домене
■ IIS_WPG, который используется информационной службой Интернета (IIS)
■ Серверы RAS и IAS, которые позволяют участникам управлять удаленным доступом
■ Администраторы схемы, которые позволяют участникам изменять схему
■ Клиенты Telnet, которые используются для подключения клиентов с помощью Telnet
Группа Cert Publishers используется для цифровых сертификатов, о которых мы говорили в главе 1. Хотя в этой группе нет членов по умолчанию, при добавлении в нее членов они могут публиковать сертификаты для пользователей и компьютеров. Это позволяет шифровать и расшифровывать данные при отправке по сети.
Группы DnsAdmins и DnsUpdateProxy устанавливаются при установке DNS. Обе эти группы не имеют членов по умолчанию, но когда они добавляются, у них появляются возможности, связанные со службой DNS-сервера. Группа DnsAdmins позволяет членам иметь административный доступ к службе DNS-сервера. Группа DnsUpdateProxy позволяет участникам выполнять динамические обновления DNS от имени других клиентов и обходить списки DACL, которые обычно сопровождают безопасное динамическое обновление.
Группа администраторов домена имеет полный доступ к домену. Эта группа становится членом группы администраторов на каждом контроллере домена, рабочей станции и рядовом сервере, когда они присоединяются к домену. Благодаря этому членству члены группы имеют все права, связанные с группой администраторов, включая возможность резервного копирования и восстановления файлов, изменения системного времени, создания файлов подкачки, включения учетных записей для делегирования, удаленного выключения компьютера, загрузки и выгружать драйверы устройств и выполнять другие действия, связанные с администрированием Active Directory и серверов.
В состав групп «Компьютеры домена» и «Контроллеры домена» входят компьютеры домена. В группу «Компьютеры домена» входят все рабочие станции и серверы, присоединившиеся к домену, за исключением контроллеров домена. При создании учетной записи компьютера объект компьютера автоматически становится частью этой группы. Точно так же группа контроллеров домена содержит все контроллеры домена, которые являются частью домена. Используя эти группы, вы можете устанавливать разрешения и права, применимые к учетным записям компьютеров, которые существуют в домене.
Следующие две группы, которые мы обсудим, предназначены для пользователей, которые имеют собственные учетные записи или входят в систему с использованием гостевой учетной записи. В группу «Гости домена» входят все гости домена, а в группу «Пользователи домена» по умолчанию входят все пользователи домена. Любая учетная запись пользователя, созданная в домене, автоматически становится членом группы «Пользователи домена».
Администраторы предприятия — это группа, которая появляется в корневом домене леса и позволяет участникам иметь полный контроль над каждым доменом в лесу. Члены этой группы автоматически добавляются в группу администраторов на каждом контроллере домена в каждом домене леса. Как обсуждалось ранее в этой главе, учетная запись администратора является членом этой группы. Из-за возможностей, которые он дает пользователю, следует с осторожностью добавлять дополнительных участников.
Группа владельцев-создателей групповой политики используется для управления групповой политикой в домене. Групповые политики позволяют контролировать среду пользователя. Используя политики, вы можете управлять такими вещами, как внешний вид и поведение рабочего стола пользователя, а также ограничивать контроль пользователя над своим компьютером. Члены группы владельцев-создателей групповой политики могут изменять эти политики. Из-за того, что эти участники имеют власть над пользователями в домене, учетная запись администратора является единственным членом этой группы по умолчанию.
Группа серверов RAS и IAS используется для службы удаленного доступа (RAS) и службы проверки подлинности в Интернете (IAS), которые обеспечивают удаленный доступ к сети. Члены этой группы имеют возможность доступа к свойствам удаленного доступа пользователей в домене. Это позволяет им помогать в управлении учетными записями, которым необходим такой доступ.
Группа администраторов схемы — это еще одна группа, которая появляется только в корневом домене леса. Эта группа позволяет участникам изменять схему. Схема используется для определения пользовательских классов и атрибутов, образующих основу базы данных Active Directory.Как упоминалось ранее, учетная запись администратора является членом этой группы по умолчанию. Дополнительных пользователей следует добавлять с осторожностью из-за широкого влияния этой группы на лес.
Специальные удостоверения являются неявными заполнителями, они не указаны в Active Directory, но доступны при применении разрешений — членство автоматически рассчитывается ОС.
Предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных и глобальных групп, а также могут локально входить в контроллеры домена.
Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.
Права пользователя по умолчанию: Разрешить локальный вход: SeInteractiveLogonRight
Встроенная группа . Предоставляет полный и неограниченный доступ к компьютеру или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.
Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа контролирует доступ ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах. Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия.
Группа является владельцем по умолчанию любого объекта, созданного членом группы.
Права пользователя по умолчанию для администраторов
Эта группа в настоящее время не используется в Windows.
Права пользователя по умолчанию:
Разрешить локальный вход: SeInteractiveLogonRight
Доступ к этому компьютеру из сети: SeNetworkLogonRight
Обойти сквозную проверку: SeChangeNotifyPrivilege
Изменить часовой пояс: SeTimeZonePrivilege
Компьютеры, входящие в группу Replicator, поддерживают репликацию файлов в домене. Операционные системы Windows Server используют службу репликации файлов (FRS) для репликации системных политик и сценариев входа, хранящихся на системном томе (SYSVOL).
Служба репликации DFS заменяет FRS и может использоваться для репликации содержимого общего ресурса SYSVOL, папок DFS и других пользовательских (не SYSVOL) данных. Все наборы реплик FRS, отличные от SYSVOL, следует перенести в репликацию DFS.
Права пользователя по умолчанию: нет
Любая служба, которая обращается к системе, имеет идентификатор службы. Эта группа удостоверений включает всех участников безопасности, которые вошли как служба. Это удостоверение предоставляет доступ к процессам, которые выполняются службами Windows Server. Членство контролируется операционной системой.
Права пользователя по умолчанию:
Создание глобальных объектов: SeCreateGlobalPrivilege
Олицетворение клиента после аутентификации: SeImpersonatePrivilege
В Windows 8 и Windows Server 2012 вкладка «Общий доступ» была добавлена в пользовательский интерфейс дополнительных параметров безопасности. На этой вкладке отображаются свойства безопасности удаленной общей папки. Для просмотра этой информации у вас должны быть следующие разрешения и членство в зависимости от версии Windows Server, на которой работает файловый сервер.
Группа WinRMRemoteWMIUsers_ позволяет удаленно запускать команды PowerShell, в то время как группа «Пользователи удаленного управления» обычно используется для предоставления пользователям возможности управлять серверами с помощью консоли диспетчера серверов. Эта группа безопасности появилась в Windows Server 2012.
Права пользователя по умолчанию: нет
В этом справочном разделе для ИТ-специалистов описываются группы безопасности Active Directory по умолчанию.
В Active Directory есть две формы общих участников безопасности: учетные записи пользователей и учетные записи компьютеров. Эти учетные записи представляют физическое лицо (человека или компьютер). Учетные записи пользователей также могут использоваться в качестве выделенных учетных записей служб для некоторых приложений. Группы безопасности используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы.
В операционной системе Windows Server имеется несколько встроенных учетных записей и групп безопасности, предварительно настроенных с соответствующими правами и разрешениями для выполнения определенных задач. Для Active Directory существует два типа административных обязанностей:
Администраторы служб. Отвечают за обслуживание и предоставление доменных служб Active Directory (AD DS), включая управление контроллерами домена и настройку AD DS.
Администраторы данных. Отвечают за обслуживание данных, хранящихся в доменных службах Active Directory, а также на рядовых серверах и рабочих станциях домена.
О группах Active Directory
Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и других групп в управляемые единицы. Работа с группами, а не с отдельными пользователями, упрощает обслуживание и администрирование сети.
В Active Directory есть два типа групп:
Группы рассылки. Используется для создания списков рассылки электронной почты.
Группы безопасности. Используются для назначения разрешений общим ресурсам.
Группы рассылки
Группы рассылки можно использовать только с почтовыми приложениями (такими как Exchange Server) для отправки электронной почты группам пользователей. Группы рассылки не защищены, что означает, что они не могут быть перечислены в списках управления доступом на уровне пользователей (DACL).
Группы безопасности
Группы безопасности позволяют эффективно назначать доступ к ресурсам в вашей сети. Используя группы безопасности, вы можете:
Назначьте права пользователей группам безопасности в Active Directory.
Права пользователя назначаются группе безопасности, чтобы определять, что члены этой группы могут делать в рамках домена или леса. Права пользователей автоматически назначаются некоторым группам безопасности при установке Active Directory, чтобы помочь администраторам определить административную роль человека в домене.
Например, пользователь, добавленный в группу операторов резервного копирования в Active Directory, может выполнять резервное копирование и восстановление файлов и каталогов, расположенных на каждом контроллере домена в домене. Это возможно благодаря тому, что по умолчанию права пользователя Резервное копирование файлов и каталогов и Восстановление файлов и каталогов автоматически закреплены за группой Операторы резервного копирования. Таким образом, члены этой группы наследуют права пользователя, назначенные этой группе.
Вы можете использовать групповую политику для назначения прав пользователей группам безопасности для делегирования определенных задач. Дополнительные сведения об использовании групповой политики см. в разделе Назначение прав пользователя.
Назначить разрешения группам безопасности для ресурсов.
Разрешения отличаются от прав пользователя. Разрешения назначаются группе безопасности для общего ресурса. Разрешения определяют, кто может получить доступ к ресурсу, и уровень доступа, например Полный доступ. Некоторые разрешения, установленные для объектов домена, автоматически назначаются для обеспечения различных уровней доступа к группам безопасности по умолчанию, таким как группа «Операторы учетных записей» или группа «Администраторы домена».
Группы безопасности перечислены в списках DACL, которые определяют разрешения для ресурсов и объектов. При назначении разрешений для ресурсов (общих файловых ресурсов, принтеров и т. д.) администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются один раз группе, а не несколько раз каждому отдельному пользователю. Каждая учетная запись, добавляемая в группу, получает права, назначенные этой группе в Active Directory, а пользователь получает разрешения, определенные для этой группы.
Как и группы рассылки, группы безопасности можно использовать в качестве объекта электронной почты. При отправке сообщения электронной почты группе оно отправляется всем членам группы.
Групповой охват
Группы характеризуются областью действия, определяющей степень применения группы в дереве доменов или лесу. Область действия группы определяет, где группе могут быть предоставлены разрешения. Следующие три группы определяются Active Directory:
В дополнение к этим трем областям, группы по умолчанию в контейнере Builtin имеют область действия встроенной локальной группы. Область действия и тип группы нельзя изменить.
В следующей таблице перечислены три области групп и дополнительная информация о каждой области для группы безопасности.
Групповые области
Глобальные группы из любого домена в одном лесу
Локальный домен домена, если группа не является членом других универсальных групп
Локальные группы в одном лесу или доверяющие леса
Другие глобальные группы из того же домена
Глобальные группы из любого домена или любого доверенного домена
Универсальные группы из любого домена в одном лесу
Другие локальные группы домена из того же домена
Специальные группы идентификации
Особые удостоверения обычно называются группами. Специальные группы удостоверений не имеют конкретного членства, которое можно изменить, но они могут представлять разных пользователей в разное время, в зависимости от обстоятельств. Некоторые из этих групп включают в себя Creator Owner, Batch и Authenticated User.
Информацию обо всех специальных группах удостоверений см. в разделе Особые удостоверения.
Группы безопасности по умолчанию
Группы по умолчанию, такие как группа «Администраторы домена», — это группы безопасности, которые создаются автоматически при создании домена Active Directory. Вы можете использовать эти предопределенные группы, чтобы контролировать доступ к общим ресурсам и делегировать определенные административные роли на уровне домена.
Многим группам по умолчанию автоматически назначается набор прав пользователей, которые разрешают членам группы выполнять определенные действия в домене, например вход в локальную систему или резервное копирование файлов и папок.Например, член группы «Операторы резервного копирования» имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.
При добавлении пользователя в группу он получает все права пользователя, назначенные группе, и все разрешения, назначенные группе для любых общих ресурсов.
Группы по умолчанию расположены в контейнере «Встроенные» и в контейнере «Пользователи» в разделе «Пользователи и компьютеры Active Directory». Контейнер Builtin включает в себя группы, определенные с областью действия "Локальный домен". Включает пользователей содержит группы, которые определены с глобальной областью действия, и группы, которые определены с локальной областью домена. Вы можете перемещать группы, расположенные в этих контейнерах, в другие группы или организационные подразделения (OU) внутри домена, но вы не можете перемещать их в другие домены.
Некоторые из административных групп, перечисленных в этом разделе, и все члены этих групп защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Этот дескриптор представляет собой структуру данных, содержащую информацию о безопасности, связанную с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из административных учетных записей или групп будет перезаписана защищенными настройками.
Дескриптор безопасности присутствует в объекте AdminSDHolder. Это означает, что если вы хотите изменить разрешения для одной из групп администраторов службы или для любой из ее учетных записей, вы должны изменить дескриптор безопасности в объекте AdminSDHolder, чтобы он применялся последовательно. Будьте осторожны при внесении этих изменений, потому что вы также изменяете настройки по умолчанию, которые будут применяться ко всем вашим защищенным административным учетным записям.
Группы безопасности Active Directory по умолчанию в зависимости от версии операционной системы
В следующих таблицах приведены описания групп по умолчанию, которые находятся в контейнерах Builtin и Users в каждой операционной системе.
| Группа безопасности по умолчанию | Windows Server 2016 | Windows Server 2012 R2 | Windows Server 2012 | Windows Server 2008 R2 |
|---|---|---|---|---|
| Операторы управления доступом | Да | Да | Да | |
| Операторы счетов | Да | Да | Да | Да |
| Администраторы | Да | Да | Да | Да |
| Разрешенная группа репликации паролей RODC | Да | Да | Да | Да |
| Операторы резервного копирования | Да | Да | Да | Да |
| Доступ к службе сертификатов DCOM | Да | Да | Да | Да |
| Издатели сертификатов | Да | Да | Да | Да |
| Клонируемые контроллеры домена | Да | Да | Да | |
| Криптографические операторы | Да | Да | < td>ДаДа | |
| Отказано в группе репликации пароля RODC | Да | Да | Да | Да |
| Владельцы устройств | Да | Да | Да | Да |
| Пользователи распределенного COM | Да | Да | Да | Да |
| DnsUpdateProxy | Да | Да | Да | Да |
| DnsAdmins | Да | Да | Да | < td>Да|
| Администраторы домена | Да | Да | Да | Да |
| Компьютеры домена | Да | Да | Да | Да< /td> |
| Контроллеры домена | Да | Да | Да | Да |
| Гости домена | Да | Да | Да | Да | < /tr>
| Пользователи домена | Да | Да | Да | Да |
| Администраторы предприятия | Да | Да | Да | Да |
| Ключевые администраторы предприятия | Да | |||
| Контроллеры домена предприятия только для чтения | Да< /td> | Да | Да | Да |
| Считыватели журнала событий | Да | Да | Да | Да |
| Владельцы-создатели групповой политики | Да | Да | Да | Да |
| Гости | Да | < td>ДаДа | Да | |
| Администраторы Hyper-V | Да | < td>ДаДа | ||
| IIS_IUSRS | Да | Да | Да | Да |
| Входящие формирователи доверия леса | Да | Да | Да | Да |
| Ключевые администраторы | Да | |||
| Операторы настройки сети< /td> | Да | Да | Да | Да |
| Пользователи журнала производительности | Да | Да | Да | Да |
| Пользователи монитора производительности | Да | Да | Да | Да |
| Доступ, совместимый с Windows 2000 | Да | Да | Да | Да |
| Операторы печати | Да | Да | Да | Да |
| Защищенные пользователи | Да | Да | ||
| Серверы RAS и IAS | Да | Да | Да | Да |
| Конечные серверы RDS | Да | Да | Да | |
| Серверы управления RDS | Да | Да | Да | |
| Серверы удаленного доступа RDS | Да | Да | Да | |
| Контроллеры домена только для чтения | Да< /td> | Да | Да | Да |
| Пользователи удаленного рабочего стола | Да | Да | Да | Да |
| Пользователи удаленного управления | Да | Да | Да | |
| Репликатор | Да | Да | Да | Да |
| Объявление схемы мин | Да | Да | Да | Да |
| Операторы серверов< /td> | Да | Да | Да | Да |
| Администраторы реплики хранилища | Да | |||
| Группа системных управляемых учетных записей | Да | |||
| Серверы лицензий серверов терминалов | Да | Да | Да | Да |
| Пользователи | Да | Да | Да | Да |
| Группа доступа авторизации Windows | Да | Да | Да | Да |
| WinRMRemoteWMIUsers_ | Да | Да |
Операторы помощи в управлении доступом
Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.
Группа «Операторы помощи в управлении доступом» применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Эта группа безопасности не менялась со времен Windows Server 2008.
| Атрибут | Значение |
|---|---|
| Общеизвестный SID/RID | S-1-5-32-579 |
| Тип | Встроенный Локальный |
| CN=BuiltIn, DC= , DC= | |
| Элементы по умолчанию | Нет |
| Член по умолчанию | Нет |
| Защищено ADMINSDHOLDER? | Нет | < /tr>
| Безопасно перемещать из контейнера по умолчанию? | Невозможно переместить |
| Безопасно делегировать управление этой группой другим -Администраторы службы? | |
| Права пользователя по умолчанию | Нет |
Операторы аккаунта
Группа «Операторы учетной записи» предоставляет пользователю ограниченные права на создание учетной записи. Члены этой группы могут создавать и изменять большинство типов учетных записей, включая учетные записи пользователей, локальных и глобальных групп, а также могут локально входить в контроллеры домена.
Члены группы «Операторы учетных записей» не могут управлять учетной записью администратора, учетными записями пользователей администраторов или группами «Администраторы», «Операторы сервера», «Операторы учетных записей», «Операторы резервного копирования» или «Операторы печати». Члены этой группы не могут изменять права пользователей.
Группа «Операторы учетных записей» относится к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
По умолчанию в этой встроенной группе нет участников, и она может создавать и управлять пользователями и группами в домене, включая свое собственное членство и членство в группе «Операторы сервера». Эта группа считается группой администраторов службы, поскольку она может изменять операторов сервера, которые, в свою очередь, могут изменять параметры контроллера домена. Рекомендуется оставить членство в этой группе пустым и не использовать его для какого-либо делегированного администрирования. Эту группу нельзя переименовать, удалить или переместить.
Эта группа безопасности не менялась со времен Windows Server 2008.
| Атрибут | Значение |
|---|---|
| Общеизвестный SID/RID | S-1-5-32-548 |
| Тип | Встроенная локальная |
| CN=BuiltIn, DC= , DC= | |
| Элементы по умолчанию | Нет |
| Член по умолчанию | Нет |
| Защищено ADMINSDHOLDER? | Да | < /tr>
| Безопасно перемещать из контейнера по умолчанию? | Невозможно переместить |
| Безопасно делегировать управление этой группой другим -Администраторы службы? | Нет |
| Права пользователя по умолчанию | Разрешить локальный вход: SeInteractiveLogonRight |
Администраторы
Члены группы «Администраторы» имеют полный и неограниченный доступ к компьютеру, или, если компьютер повышен до контроллера домена, члены имеют неограниченный доступ к домену.
Группа администраторов применяется к версиям операционной системы Windows Server, перечисленным в таблице групп безопасности Active Directory по умолчанию.
Группа «Администраторы» имеет встроенные возможности, которые дают ее членам полный контроль над системой. Эту группу нельзя переименовать, удалить или переместить. Эта встроенная группа управляет доступом ко всем контроллерам домена в своем домене и может изменять членство во всех административных группах.
Членство может быть изменено членами следующих групп: администраторы службы по умолчанию, администраторы домена в домене или администраторы предприятия. Эта группа имеет особые права владения любым объектом в каталоге или любым ресурсом на контроллере домена. Эта учетная запись считается группой администраторов службы, поскольку ее члены имеют полный доступ к контроллерам домена в домене.
Эта группа безопасности включает следующие изменения по сравнению с Windows Server 2008:
Изменения в правах пользователя по умолчанию: Разрешить вход через службы терминалов, существовавший в Windows Server 2008, был заменен на Разрешить вход через службы удаленных рабочих столов.
Удаление компьютера с док-станции было удалено в Windows Server 2012 R2.
Когда принтер установлен в сети, назначаются разрешения принтера по умолчанию, которые позволяют всем пользователям печатать и позволяют избранным группам управлять принтером, отправленными на него документами или и тем, и другим. Поскольку принтер доступен для всех пользователей в сети, может потребоваться ограничить доступ для некоторых пользователей, назначив определенные разрешения для принтера. Например, вы можете предоставить всем неадминистративным пользователям в отделе разрешение на печать, а всем менеджерам — разрешение на печать и управление документами. Таким образом, все пользователи и менеджеры могут печатать документы, но менеджеры также могут изменять статус печати любого документа, отправленного на принтер.
Windows предоставляет три уровня разрешений безопасности печати: печать, управление принтерами и управление документами.Когда группе пользователей назначается несколько разрешений, применяются наименее ограничивающие разрешения. Однако когда применяется Запретить, оно имеет приоритет над любым разрешением. Ниже приводится краткое описание типов задач, которые пользователь может выполнять на каждом уровне разрешений.
Печать
Пользователь может подключиться к принтеру и отправить документы на принтер. По умолчанию разрешение на печать назначается всем членам группы «Все».
Управление принтерами
Пользователь может выполнять задачи, связанные с разрешением на печать, и имеет полный административный контроль над принтером. Пользователь может приостанавливать и перезапускать принтер, изменять параметры очереди печати, предоставлять общий доступ к принтеру, настраивать разрешения для принтера и изменять свойства принтера. По умолчанию разрешение на управление принтерами назначается членам групп «Администраторы» и «Опытные пользователи».
По умолчанию члены групп «Администраторы» и «Опытные пользователи» имеют полный доступ, что означает, что пользователям назначаются разрешения «Печать», «Управление документами» и «Управление принтерами».
Управление документами
Пользователь может приостанавливать, возобновлять, перезапускать, отменять и изменять порядок документов, отправленных всеми другими пользователями. Однако пользователь не может отправлять документы на принтер или контролировать состояние принтера. По умолчанию разрешение на управление документами назначается членам группы Creator Owner.
Если пользователю назначено разрешение на управление документами, он не может получить доступ к существующим документам, ожидающим печати. Разрешение будет применяться только к документам, отправленным на принтер после того, как разрешение будет назначено пользователю.
Все предыдущие разрешения для принтера запрещены. Когда доступ запрещен, пользователь не может использовать принтер или управлять им, а также настраивать какие-либо разрешения.
Разрешения на печать, назначенные группам
Windows назначает разрешения на принтер шести группам пользователей. Эти группы включают администраторов, владельцев-создателей, всех, опытных пользователей, операторов печати и операторов сервера. По умолчанию каждой группе назначается комбинация разрешений «Печать», «Управление документами» и «Управление принтерами», как показано в следующей таблице.
| Группа | Печать | Управление документами | Управление принтерами |
|---|---|---|---|
| Администраторы | X | X | X |
| Создатель-владелец | X< /td> | ||
| Все | X | ||
| Опытные пользователи | X | X | X |
| Операторы печати | X | X | X |
| Операторы серверов | X | X< /td> | X |
Группы операторов печати и операторов сервера расположены только на контроллерах домена.
| Члены этой группы могут управлять, создавать, совместно использовать и удалять принтеры и очереди печати. Члены этой группы могут загружать и выгружать драйверы устройств на сервер. Пользователи, которые могут загружать и выгружать драйверы устройств, также могут загружать вредоносный код на сервер. Из соображений безопасности добавляйте в эту группу только доверенных пользователей. |
Каждое разрешение состоит из группы специальных прав, позволяющих пользователю выполнять определенные задачи. В следующей таблице приведены уровни доступа, связанные с каждым из разрешений безопасности печати.
| Разрешенные задачи | Печать | Управление документами (применяется к документам только) | Управление принтерами |
|---|---|---|---|
| Печать | X< /td> | X | |
| Управление принтерами | X | ||
| Управление документами | X | ||
| Чтение Разрешения | X | X | X |
| Изменить разрешения | X | X | |
| Вступить во владение | X | X |
Настройка групповой политики для принтеров
Запустите групповую политику в соответствии с объектом, для которого вы хотите установить политику принтера. Дополнительные сведения о том, как запустить групповую политику, см. в разделе «Ресурсы».
После выбора страницы свойств объекта, для которого вы хотите задать политику принтера, выберите узел групповой политики.
Если вы хотите установить политики, применимые только к компьютерам, разверните узел Конфигурация компьютера, а затем разверните узел Административные шаблоны.
Если вы хотите установить политики, применимые только к пользователям, разверните узел «Конфигурация пользователя», разверните «Административные шаблоны», а затем разверните «Панель управления».
Дважды щелкните Принтеры, чтобы открыть список политик.
Дважды щелкните политику принтера, которую хотите установить.
На вкладке «Политика» включите или отключите политику, установив или сняв соответствующий переключатель. Для некоторых политик может потребоваться ввести дополнительную информацию.
Примечание
Если вы не хотите изменять текущее состояние параметра политики, оставьте его как есть (не настроено), чтобы сократить время обработки.
Читайте также: