Групи за замовчуванням в active directory - думки вголос
Після установки ролі AD на Windows Server з'являються кілька стандартних груп безпеки, які в основному пов'язані з управлінням Active Directory. Які ж групи створюються?
1) Адміністратори підприємства (Enterprise Admins) - знаходиться в контейнері Users кореневого домену лісу. Ця група - член групи Адміністратори (Administrators) в кожному домені лісу; вона представляє повний доступ до конфігурації всіх контролерів домену. Дана група також є власником розділу Конфігурація (Configuration) каталогу і має повний доступ до вмісту іменування домену у всіх доменах лісу.
2) Адміністратори схеми (Schema Admins) - знаходиться в контейнері Users кореневого домену лісу. Ця група має повний доступ до схеми Active Directory.
3) Адміністратори (Administrators) - знаходиться в контейнері Builtin кожного домена. Ця група має повний доступ до всіх контролерам домену та даними в контексті іменування домену. Вона може змінювати членство у всіх адміністративних групах домену, а група Адміністратори (Administrators) в кореневому домені лісу може змінювати членство в групах Адміністратори підприємства (Enterprise Admins), Адміністратори Схеми (Schema Admins) і адміністраторів домену (Domain Admins). Група Адміністратори в кореневому домені лісу має найбільші повноваження серед груп адміністрування в лісі.
4) Адміністратори домену (Domain Admins) - знаходиться в контейнері Users кожного домена. Ця група входить в групу Адміністратори свого домену. Тому вона успадковує всі повноваження групи Адміністратори. Крім того, вона за замовчуванням входить в локальну групу Адміністратори кожного рядового комп'ютера домену, в результаті чого адміністратори домену отримують в своє розпорядження все комп'ютери домену.
6) Оператори обліку (Account Operators) - знаходиться в контейнері Builtin кожного домена. Ця група може створювати, модифікувати і видаляти облікові записи користувачів, груп і комп'ютерів в будь-якому підрозділі домену (крім підрозділу Domain Controllers), а також в контейнерах Users і Computers. Оператори обліку не можуть модифікувати облікові записи, включені до груп Адміністратори і адміністраторів домену, а також не можуть модифікувати ці групи. Оператори обліку також можуть локально входити на контролери домену. За замовчуванням ця група не містить членів.
7) Оператори архіву (Backup Operators) - знаходиться в контейнері Builtin кожного домена. Ця група може виконувати операції резервного копіювання та відновлення на контролерах домену, а також локально входити на контролери домену і завершувати їх роботу. За замовчуванням ця група не містить членів.
8) Оператори друку (Print Operators) - знаходиться в контейнері Builtin кожного домена. Ця група може забезпечувати підтримку черг завдань друку на контролерах домену. Вона також може локально входити на контролери домену і завершувати їх роботу.