Standardgruppen im Active Directory nach der Einrichtung
Nach der Einrichtung von Active Directory sind viele Gruppen standardmäßig eingerichtet. Sie bilden die Basis für die Verwaltung des Active Directory und können später angepasst und geändert werden. Die Standardgruppen befinden sich im Container Builtin sowie Users.
Die Standardgruppen sind mit verschiedenen Berechtigungen ausgestattet und gehören zu den Sicherheitsgruppen. Sie sind deshalb eingerichtet, weil besonders in großen Unternehmen eine Arbeitsteilung herrscht und verschiedene administrative Aufgaben an verschiedene Personen delegiert werden müssen. Zum Beispiel können Mitglieder in der Gruppe Sicherungs-Operatoren alle Dateien auf Domänencontrollern sichern, die innerhalb einer Domäne im Einsatz sind. Wenn ein Benutzer nun ebenfalls das Recht erhalten soll, wird der Benutzer in die Gruppe aufgenommen und erhält die Berechtigungen der Gruppe. So kann die Verwaltung von Active Directory auf verschiedene Benutzer übertragen werden, ohne sie jedes Mal zu einem Administrator zu machen, das ein hohes Sicherheitsrisiko darstellen würde.
Der Container Builtin bedeutet Vordefiniert und beinhaltet vorwiegend Gruppen, um die Active Directory Infrastruktur zu verwalten. Der Container Users bedeutet Benutzer und beinhaltet eher Standardgruppen, um Konten zu verwalten.
Nicht alle Gruppen haben auch Benutzer. Manche Gruppen sind nur da, weil sie vom System für bestimmte Aktionen benötigt werden. Beispielsweise wird die Gruppe Replikations-Operator vom System dafür benutzt, um das Verzeichnis zu replizieren und enthält keinen Benutzer. In diese Gruppen sollte auch kein Benutzer hinzugefügt werden.
Generell sollte das Hinzufügen oder Entfernen mit äußerster Vorsicht durchgeführt werden und bedarf in der Regel einer ausführlichen Planung. Einem Benutzer sollten so viel Rechte wie nötig und so wenig Rechte wie möglich vergeben werden. Die Standardgruppen sind bereits zum Teil verschachtelt. Beispielsweise sind die Domänen-Admins in der Gruppe Administratoren. Welche Benutzer und Gruppen sich in den Gruppen befinden, lässt sich in den Eigenschaften nachschauen.
Die Standardgruppen unterscheiden sich je nach Version des Windows Servers. Wir haben die Standardgruppen sowie die dazugehörigen Berechtigungen für die Version Windows Server 2008 R2 aufgelistet.
Auflistung aller Standardgruppen im Container Builtin
| Gruppe | Berechtigungen |
|---|---|
| Administratoren | Vollzugriff. |
| Benutzer | Keine administrativen Berechtigungen. |
| Distributed COM-Benutzer | DCOM-Objekte aktivieren, starten und benutzen. |
| Druck-Operatoren | Drucker einrichten, freigeben und verwalten. |
| Ereignisprotokollleser | Ereignisprotokolle lesen. |
| Erstellung eingehender Gesamtstrukturvertrauensstellung | Eingehende unidirektionale Vertrauensstellungen zur Gesamtstruktur erstellen. |
| Gäste | Eingeschränkte Benutzerrechte. |
| IIS_IUSRS | Je nach Konfiguration. Vom Internet Information Server benutzte integrierte Gruppe. |
| Konten-Operatoren | Konten für Benutzer, Gruppen und Computer erstellen, ändern und löschen, mit Ausnahme der OU Domänen-Controller und den Gruppen Administratoren und Domänen-Admins. |
| Kryptografie-Operatoren | Kryptografische Vorgänge durchführen. |
| Leistungsprotokollbenutzer | Leistungsindikatoren, Protokolle und Warnungen verwalten. |
| Leistungsüberwachungsbenutzer | Zugriff auf Leistungsdaten. |
| Netzwerkkonfigurations-Operatoren | Konfiguration von Netzwerkfunktionen. |
| Prä-Windows 2000 kompatibler Zugriff | Mit Vorgängerversionen kompatible Gruppe, um Benutzern und Gruppen Lesezugriff zu gewähren. |
| Remotedesktopbenutzer | Berechtigung, sich Remote anzumelden. |
| Replikations-Operator | Dient für die Verzeichnisreplikation und wird vom Dateireplikationsdienst verwendet. Diese Gruppe besitzt keine Mitglieder. |
| Server-Operatoren | Ressourcenfreigabe erstellen und löschen, Dienste starten und beenden, Dateien sichern und wiederherstellen, die Festplatte formatieren. |
| Sicherungs-Operatoren | Alle Dateien auf Domänencontrollern sichern. |
| Terminalserver-Lizenzserver | Benutzerkonten für Nachverfolgungs- und Berichtszwecke mit Informationen zur Lizenzausstellung aktualisieren. |
| Windows-Autorisierungszugriffsgruppe | Zugriff auf das berechnete Attribut tokenGroupsGlobalAndUniversal für Benutzerobjekte |
| Zertifikatdienst DCOM-Zugriff | Verbindung mit den Zertifizierungsstellen im Unternehmen herstellen. |
Auflistung aller Standardgruppen im Container Users
| Gruppe/Benutzer | Berechtigungen |
|---|---|
| Abgelehnte RODC-Kennwortreplikationsgruppe | Kennwörter nicht auf schreibgeschützte Domänencontroller replizieren. |
| Administrator (Benutzer) | Vollzugriff. |
| DNS-Admins | Zugriff auf den DNS-Serverdienst. |
| DnsUpdateProxy | Dynamische Updates im Auftrag von anderen Clients ausführen. |
| Domänen-Admins | Vollzugriff auf die Domäne. |
| Domänen-Benutzer | Je nach Konfiguration. In diese Gruppe werden alle Benutzer aufgenommen. |
| Domänen-Gäste | Je nach Konfiguration. Haben keine Standardrechte. |
| Domänencomputer | Je nach Konfiguration. Alle Clients und Server werden automatisch aufgenommen. Keine Standardrechte. |
| Domänencontroller | Je nach Konfiguration. Alle Domänencontroller werden automatisch aufgenommen. Keine Standardrechte. |
| Gast (Benutzer) | Je nach Konfiguration. Gastkonto mit eingeschränkten Benutzerrechten. |
| Organisations-Admins | Vollzugriff auf alle Domänen in der Gesamtstruktur. |
| RAS- und IAS-Server | Zugriff auf die RAS-Eigenschaften der Benutzer. |
| Richtlinien-Ersteller-Besitzer | Gruppenrichtlinien für die Domäne ändern. |
| Schema-Admins | Active Directory Schema ändern. |
| Schreibgeschützte Domänencontroller | Sind schreibgeschützte Domänencontroller der Domäne. |
| Schreibgeschützte Domänencontroller der Organisation | Sind schreibgeschützte Domänencontroller im Unternehmen. |
| Zertifikatherausgeber | Dürfen Zertifkate im Verzeichnis ausstellen. |
| Zulässige RODC-Kennwortreplikationsgruppe | Kennwörter auf alle schreibgeschützte Domänencontroller replizieren. |
Systemgruppen
Neben den Standardgrupen gibt es noch einige Systemgruppen, die in den Containern nicht sichtbar sind.
Anonymus, Jeder, Netzwerk, Interaktiv, Authentifizierte Benutzer, Ersteller, Besitzer.