Active Directory-Sicherheitsgruppen

In diesem Artikel werden standardmäßige Active Directory-Sicherheitsgruppen, Gruppenbereich und Gruppenfunktionen erläutert.

Was ist eine Sicherheitsgruppe in Active Directory?

Active Directory verfügt über zwei Arten allgemeiner Sicherheitsprinzipale: Benutzerkonten und Computerkonten. Diese Konten stellen eine physische Entität dar, die entweder eine Person oder ein Computer ist. Ein Benutzerkonto kann auch als dediziertes Dienstkonto für bestimmte Anwendungen verwendet werden.

Sicherheitsgruppen sind eine Möglichkeit, Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln.

Im Windows Server-Betriebssystem (Betriebssystem) sind mehrere integrierte Konten und Sicherheitsgruppen mit den entsprechenden Rechten und Berechtigungen zum Ausführen bestimmter Aufgaben vorkonfiguriert. In Active Directory sind administrative Zuständigkeiten in zwei Arten von Administratoren unterteilt:

• Dienstadministratoren: Verantwortlich für die Wartung und Bereitstellung von Active Directory Domain Services (AD DS), einschließlich der Verwaltung von Domänencontrollern und konfigurieren von AD DS
• Datenadministratoren: Verantwortlich für die Aufrechterhaltung der daten, die in AD DS und auf Domänenmitgliedsservern und Arbeitsstationen gespeichert sind

Funktionsweise von Active Directory-Sicherheitsgruppen

Sie können Gruppen verwenden, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbare Einheiten zu sammeln. Durch die Verwendung von Gruppen anstelle einzelner Benutzer können Sie Netzwerkwartung und -verwaltung vereinfachen.

Active Directory verfügt über zwei Arten von Gruppen:

• Sicherheitsgruppen: Dient zum Zuweisen von Berechtigungen zu freigegebenen Ressourcen.
• Verteilergruppen: Wird zum Erstellen von E-Mail-Verteilerlisten verwendet.

Sicherheitsgruppen

Sicherheitsgruppen stellen eine effektive Möglichkeit zum Zuweisen des Zugriffs auf Ressourcen in Ihrem Netzwerk dar. Wenn Sie Sicherheitsgruppen verwenden, stehen Ihnen folgende Möglichkeiten zur Verfügung:

• Zuweisen von Benutzerrechten zu Sicherheitsgruppen in Active Directory.

  Sie können einer Sicherheitsgruppe Benutzerrechte zuweisen, um festzulegen, was Mitglieder dieser Gruppe innerhalb des Bereichs einer Domäne oder eines Waldes ausführen können. Benutzerrechte werden einigen Sicherheitsgruppen automatisch zugewiesen, wenn Active Directory installiert ist, damit Administratoren die administrative Rolle einer Person in der Domäne definieren können.

  Beispielsweise kann ein Benutzer, den Sie der Gruppe "Sicherungsoperatoren" in Active Directory hinzufügen, Dateien und Verzeichnisse sichern und wiederherstellen, die sich auf jedem Domänencontroller in der Domäne befinden. Der Benutzer kann diese Aktionen ausführen, da die Benutzerrechte Dateien und Verzeichnisse sichern und Dateien und Verzeichnisse wiederherstellen standardmäßig automatisch der Gruppe „Sicherungsoperatoren“ zugewiesen werden. Daher erben Mitglieder dieser Gruppe die Benutzerrechte, die dieser Gruppe zugewiesen sind.

  Mithilfe der Gruppenrichtlinie können Sie Sicherheitsgruppen Benutzerrechte zuzuweisen, um bestimmte Aufgaben zu delegieren. Weitere Informationen zur Verwendung von Gruppenrichtlinie finden Sie unter Zuweisung von Benutzerrechten.

• Zuweisen von Berechtigungen zu Sicherheitsgruppen für Ressourcen.

  Berechtigungen unterscheiden sich von Benutzerrechten. Berechtigungen werden einer Sicherheitsgruppe für eine freigegebene Ressource zugewiesen. Mit Berechtigungen wird bestimmt, wer auf die Ressource zugreifen kann, und es wird die Zugriffsebene bestimmt (z. B. Vollzugriff oder Lesezugriff). Einige Berechtigungen, die für Domänenobjekte festgelegt werden, werden automatisch zugewiesen, damit verschiedene Zugriffsebenen für Standardsicherheitsgruppen möglich sind, beispielsweise die Gruppe „Konten-Operatoren“ oder die Gruppe „Domänen-Admins“.

  Sicherheitsgruppen werden in diskretionären Zugriffssteuerungslisten (DACLs) aufgeführt, die Berechtigungen für Ressourcen und Objekte definieren. Wenn Administratoren Berechtigungen für Ressourcen wie Dateifreigaben oder Drucker zuweisen, sollten sie diese Berechtigungen einer Sicherheitsgruppe und nicht einzelnen Benutzern zuweisen. Die Berechtigungen brauchen nur einmal der Gruppe zugewiesen werden und nicht jedem einzelnen Benutzer. Jedes Konto, das einer Gruppe hinzugefügt wird, erhält die Rechte, die dieser Gruppe in Active Directory zugewiesen sind. Der Benutzer erhält die Berechtigungen, die für diese Gruppe definiert sind.

Sie können eine Sicherheitsgruppe als E-Mail-Entität verwenden. Wird eine E-Mail-Nachricht an die Sicherheitsgruppe gesendet, wird die Nachricht an alle Mitglieder der Gruppe gesendet.

Verteilergruppen

Sie können Verteilergruppen nur zum Senden von E-Mails an Gruppen von Benutzern verwenden, indem Sie eine E-Mail-Anwendung wie Exchange Server verwenden. Verteilergruppen sind nicht sicherheitsaktiviert, daher können Sie sie nicht in DACLs einbeziehen.

Gruppenbereich

Jede Gruppe verfügt über einen Bereich, mit dem angegeben wird, in welchem Ausmaß die Gruppe in der Domänenstruktur oder in der Gesamtstruktur angewendet wird. Der Bereich einer Gruppe definiert die Bereiche des Netzwerks, in denen Berechtigungen für die Gruppe erteilt werden können. Active Directory definiert die folgenden drei Gruppenbereiche:

• Universell
• Weltweit
• Lokal (in Domäne)

In der folgenden Tabelle werden die drei Gruppenbereiche und deren Funktionsweise als Sicherheitsgruppen beschrieben:

Spezielle Identitätsgruppen

Eine spezielle Identitätsgruppe ist der Ort, an dem bestimmte spezielle Identitäten gruppiert werden. Spezielle Identitätsgruppen verfügen nicht über bestimmte Mitgliedschaften, die Sie ändern können, aber sie können unterschiedliche Benutzer zu unterschiedlichen Zeiten abhängig von den Umständen darstellen. Zu diesen Gruppen gehören Erstellerbesitzer, Batch und authentifizierter Benutzer.

Weitere Informationen finden Sie unter Spezielle Identitätsgruppen.

Standardsicherheitsgruppen

Standardgruppen wie die Gruppe "Domänenadministratoren" sind Sicherheitsgruppen, die automatisch erstellt werden, wenn Sie eine Active Directory-Domäne erstellen. Diese vordefinierten Gruppen können Ihnen helfen, den Zugriff auf freigegebene Ressourcen zu steuern und bestimmte domänenweite Administratorrollen zu delegieren.

Vielen Standardgruppen wird automatisch eine Gruppe von Benutzerrechten zugewiesen. Diese Rechte autorisieren Mitglieder der Gruppe, bestimmte Aktionen in einer Domäne auszuführen, z. B. anmelden bei einem lokalen System oder Sichern von Dateien und Ordnern. Beispielsweise kann ein Mitglied der Gruppe „Sicherungsoperatoren“ Sicherungsvorgänge für alle Domänencontroller in der Domäne ausführen.

Wenn Sie einer Gruppe einen Benutzer hinzufügen, erhält der Benutzer alle Benutzerrechte, die der Gruppe zugewiesen sind, einschließlich aller Berechtigungen, die der Gruppe für beliebige freigegebene Ressourcen zugewiesen sind.

Standardgruppen befinden sich im Builtin-Container oder im Benutzercontainer im Active Directory-Benutzer und -Computer-Tool. Der Container „Vordefiniert“ enthält Gruppen, die mit dem Bereich „Lokal (in Domäne)“ definiert wurden. Der Container „Benutzer“ enthält Gruppen, die mit dem Bereich „Global“ definiert wurden, und Gruppen, die mit dem Bereich „Lokal (in Domäne)“ definiert wurden. Sie können Gruppen, die sich in diesen Containern befinden, in andere Gruppen oder Organisationseinheiten innerhalb der Domäne verschieben. Sie können sie jedoch nicht in andere Domänen verschieben.

Einige der in diesem Artikel aufgeführten administrativen Gruppen sowie alle Mitglieder dieser Gruppen werden durch einen Hintergrundprozess geschützt, der regelmäßig einen bestimmten Sicherheitsdeskriptor überprüft und anwendet. Dieser Deskriptor ist eine Datenstruktur, die die einem geschützten Objekt zugeordneten Sicherheitsinformationen enthält. Dadurch wird sichergestellt, dass jeder erfolgreiche nicht autorisierte Versuch, den Sicherheitsdeskriptor für eines der Administratorkonten oder -gruppen zu ändern, mit den geschützten Einstellungen überschrieben wird.

Der Sicherheitsdeskriptor befindet sich im Objekt „AdminSDHolder“. Wenn Sie die Berechtigungen für eine der Dienstadministratorgruppen oder für eines ihrer Mitgliedskonten ändern möchten, müssen Sie den Sicherheitsdeskriptor für das Objekt „AdminSDHolder“ so ändern, dass er konsistent angewendet wird. Seien Sie vorsichtig, wenn Sie diese Änderungen vornehmen, denn Sie ändern damit auch die Standardeinstellungen, die auf alle geschützten Administratorkonten angewendet werden.

Jede Standardsicherheitsgruppe verfügt über einen eindeutigen Bezeichner, der aus mehreren Komponenten besteht. Bei diesen Komponenten handelt es sich um eine relative ID (RID), die innerhalb der Domäne der Gruppe eindeutig ist.

Active Directory-Standardsicherheitsgruppen

Die folgenden Links führen zu Beschreibungen der Standardgruppen, die sich im Builtin-Container oder im Benutzer-Container in Active Directory befinden.

• Unterstützer der Zugriffskontrolle
• Kontobetreiber
• Administratoren
• Erlaubte RODC-Kennwort-Replikation
• Backup-Bediener
• Zertifikatsdienst DCOM-Zugriff
• Zertifikat-Herausgeber
• Klonierbare Domänencontroller
• Kryptographische Operatoren
• Verweigerte RODC-Kennwort-Replikation
• Gerätebesitzer
• DHCP-Verwalter
• DHCP-Benutzer
• Verteilte COM-Benutzer
• DnsUpdateProxy
• DnsAdmins
• Domänenadministratoren
• Domänencomputer
• Domänen-Controller
• Domänengäste
• Domänenbenutzer
• Unternehmensadministratoren
• Unternehmensschlüssel-Administratoren
• Schreibgeschützte Domänencontroller der Organisation
• Ereignisprotokollleser
• Besitzer von Gruppenrichtlinienerstellern
• Gäste
• Hyper-V Administratoren
• IIS_IUSRS
• Vertrauens-Generatoren für eingehende Gesamtstruktur
• Wichtige Administratoren
• Bediener von Netzwerkkonfigurationen
• Performance Log Benutzer
• Leistungsmonitor-Benutzer
• Vor-Windows 2000 kompatibler Zugriff
• Drucker-Benutzer
• Geschützte Benutzer
• RAS- und IAS-Server
• RDS-Endpunktserver
• RDS-Verwaltungsserver
• RDS-Fernzugriffsserver
• Read-only-Domänencontroller
• Remote Desktop-Benutzer
• Remote Management Benutzer
• Replikator
• Schemaadministratoren
• Server-Bediener
• Verwalter von Speicherreplikaten
• Systemverwaltete Konten
• Terminal-Server-Lizenzserver
• Benutzer
• Windows-Autorisierungszugriff
• WinRMRemoteWMIUsers__

Zugriffssteuerungs-Unterstützungsoperatoren

Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf dem Computer remote abfragen. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Konten-Operatoren

Die Gruppe „Konten-Operatoren“ gewährt einem Benutzer eingeschränkte Berechtigungen zum Erstellen von Konten. Mitglieder dieser Gruppe können die meisten Kontotypen erstellen und ändern, einschließlich Konten für Benutzer, lokale Gruppen und globale Gruppen. Gruppenmitglieder können sich lokal bei Domänencontrollern anmelden.

Mitglieder der Gruppe "Kontooperatoren" können keine Benutzerrechte ändern. Außerdem können Mitglieder dieser Gruppe die folgenden Konten und Gruppen nicht verwalten:

• Administratorbenutzerkonto
• Benutzerkonten von Administratoren
• Administratoren
• Server-Bediener
• Kontobetreiber
• Backup-Bediener
• Drucker-Benutzer

Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Admins

Mitglieder der Gruppe „Administratoren“ haben vollständigen und uneingeschränkten Zugriff auf den Computer. Wenn der Computer zu einem Domänencontroller heraufgestuft wird, haben Mitglieder der Gruppe „Administratoren“ uneingeschränkten Zugriff auf die Domäne.

Zulässige RODC-Kennwortreplikation

Der Zweck dieser Sicherheitsgruppe besteht darin, eine Kennwortreplikationsrichtlinie für den schreibgeschützten Domänencontroller (RODC) zu verwalten. Diese Gruppe hat standardmäßig keine Mitglieder. Daher speichern neue RODCs keine Benutzeranmeldeinformationen zwischen. Die Gruppe Abgelehnte RODC-Kennwortreplikation enthält verschiedene Konten und Sicherheitsgruppen mit erhöhten Berechtigungen. Die Gruppe „Abgelehnte RODC-Kennwortreplikation“ hat Vorrang vor der Gruppe „Zulässige RODC-Kennwortreplikation“. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Sicherungsoperatoren

Mitglieder der Gruppe „Sicherungsoperatoren“ können alle Dateien auf einem Computer sichern und wiederherstellen, und zwar unabhängig von den Berechtigungen, die diese Dateien schützen. Sicherungsoperatoren können sich auch bei einem Computer anmelden und ihn herunterfahren. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden. Standardmäßig enthält diese vordefinierte Gruppe keine Mitglieder und kann Sicherungs- und Wiederherstellungsvorgänge auf Domänencontrollern ausführen. Mitglieder der folgenden Gruppen können die Gruppenmitgliedschaft für Sicherungsoperatoren ändern: Standarddienstadministratoren, Domänenadministratoren in der Domäne und Unternehmensadministratoren. Mitglieder der Gruppe „Sicherungsoperatoren“ können die Mitgliedschaft anderer administrativer Gruppen nicht ändern. Obwohl Mitglieder dieser Gruppe keine Servereinstellungen ändern oder die Konfiguration des Verzeichnisses ändern können, verfügen sie über die erforderlichen Berechtigungen zum Ersetzen von Dateien (einschließlich Betriebssystemdateien) auf Domänencontrollern. Da Mitglieder dieser Gruppe Dateien auf Domänencontrollern ersetzen können, gelten sie als Dienstadministratoren.

Zertifikatdienst-DCOM-Zugriff

Mitglieder dieser Gruppe können eine Verbindung mit Zertifizierungsstellen im Unternehmen herstellen. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Zertifikatherausgeber

Mitglieder der Gruppe "Herausgeber von Zertifikaten" sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Klonbare Domänencontroller

Mitglieder der Gruppe „Klonbare Domänencontroller“, die Domänencontroller sind, können geklont werden. In Windows Server 2012 R2 und Windows Server 2012 können Sie Domänencontroller bereitstellen, indem Sie einen vorhandenen virtuellen Domänencontroller kopieren. In einer virtuellen Umgebung können Sie nicht wiederholt ein Serverimage bereitstellen, das mit dem Sysprep.exe Tool vorbereitet wird. Das Bewerben des Servers auf einen Domänencontroller und das Abschließen weiterer Konfigurationsanforderungen für die Bereitstellung der einzelnen Domänencontroller (einschließlich hinzufügen des virtuellen Domänencontrollers zu dieser Sicherheitsgruppe) ist ebenfalls nicht zulässig. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Weitere Informationen finden Sie unter "Sicheres Virtualisieren von Active Directory Domain Services (AD DS)".

Kryptografie-Operatoren

Mitglieder dieser Gruppe sind autorisiert, kryptografische Vorgänge auszuführen. Diese Sicherheitsgruppe konfiguriert die Windows-Firewall für IPsec im Modus "Allgemeine Kriterien". Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Abgelehnte RODC-Kennwortreplikation

Kennwörter von Mitgliedern der Gruppe „Abgelehnte RODC-Kennwortreplikation“ können nicht auf einen schreibgeschützten Domänencontroller repliziert werden.

Der Zweck dieser Sicherheitsgruppe besteht darin, eine RODC-Kennwortreplikationsrichtlinie zu verwalten. Diese Gruppe enthält verschiedene Konten und Sicherheitsgruppen mit erhöhten Berechtigungen. Die Gruppe „Abgelehnte RODC-Kennwortreplikation“ hat Vorrang vor der Gruppe Zulässige RODC-Kennwortreplikation.

Gerätebesitzer

Wenn die Gruppe „Gerätebesitzer“ keine Mitglieder enthält, wird empfohlen, die Standardkonfiguration für diese Sicherheitsgruppe nicht zu ändern. Das Ändern der Standardkonfiguration kann zukünftige Szenarien behindern, die auf dieser Gruppe basieren. Die Gruppe „Gerätebesitzer“ wird in Windows derzeit nicht verwendet.

DHCP-Administratoren

Mitglieder der DHCP-Administratoren-Gruppe können verschiedene Bereiche des Serverumfangs erstellen, löschen und verwalten. Gruppenrechte umfassen die Möglichkeit, die DHCP-Datenbank (Dynamic Host Configuration Protocol) zu sichern und wiederherzustellen. Obwohl diese Gruppe über Administratorrechte verfügt, ist sie nicht Teil der Gruppe „Administratoren“, da diese Rolle auf DHCP-Dienste beschränkt ist.

DHCP-Benutzer

Mitglieder der DHCP-Benutzergruppe können sehen, welche Bereiche aktiv oder inaktiv sind, einschließlich der IP-Adressen, die zugewiesen werden. Gruppenmitglieder können auch Verbindungsprobleme anzeigen, wenn der DHCP-Server nicht ordnungsgemäß konfiguriert ist. Diese Gruppe ist auf schreibgeschützten Zugriff auf den DHCP-Server beschränkt.

Distributed COM-Benutzer

Mitglieder der Gruppe "Verteilte COM-Benutzer" können Objekte des Distributed Component Object Model (DCOM) auf dem Computer starten, aktivieren und verwenden. Microsoft Component Object Model (COM) ist ein plattformunabhängiges, verteiltes und objektorientiertes System zum Erstellen von binären Softwarekomponenten, die miteinander kommunizieren können. Wenn Sie DCOM-Objekte verwenden, können Sie Ihre Anwendungen an standortenübergreifend verteilen, die für Sie und die Anwendungen am sinnvollsten sind. Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller wird und die Betriebsmasterrolle innehat, die auch als flexible Einzelmasteroperationen (FSMO-Rolle) bezeichnet wird. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

DnsUpdateProxy

Mitglieder der DnsUpdateProxy-Gruppe sind DNS-Clients (Domain Name System). Sie dürfen dynamische Updates im Auftrag anderer Clients ausführen, z. B. DHCP-Server. Ein DNS-Server kann veraltete Ressourcendatensätze entwickeln, wenn ein DHCP-Server so konfiguriert ist, dass er Host- (A) und Pointer- (PTR) Ressourcendatensätze im Namen von DHCP-Clients mithilfe dynamischen Updates dynamisch registriert. Das Hinzufügen von Clients zu dieser Sicherheitsgruppe entschärft dieses Szenario.

Um vor unsicheren Datensätzen zu schützen oder Mitgliedern der DnsUpdateProxy-Gruppe das Registrieren von Datensätzen in Zonen zu ermöglichen, die nur gesicherte dynamische Updates zulassen, müssen Sie ein dediziertes Benutzerkonto erstellen. Sie müssen auch DHCP-Server so konfigurieren, dass dynamische DNS-Updates mithilfe des Benutzernamens, des Kennworts und der Domäne dieses Kontos ausgeführt werden. Mehrere DHCP-Server können die Anmeldeinformationen eines dedizierten Benutzerkontos verwenden. Diese Gruppe ist nur vorhanden, wenn die DNS-Serverrolle auf einem Domänencontroller in der Domäne installiert ist oder einmal installiert wurde.

Weitere Informationen finden Sie unter DNS-Datensatzbesitz und die Gruppe „DnsUpdateProxy“.

DnsAdmins

Mitglieder der Gruppe „DnsAdmins“ haben Zugriff auf Netzwerk-DNS-Informationen. Standardmäßig werden Mitgliedern dieser Gruppe die folgenden Zulassungsberechtigungen zugewiesen: Lesen, Schreiben, Erstellen von allen untergeordneten Objekten, Löschen untergeordneter Objekte und Sonderberechtigungen. Diese Gruppe ist nur vorhanden, wenn die DNS-Serverrolle auf einem Domänencontroller in der Domäne installiert ist oder einmal installiert wurde.

Weitere Informationen zu Sicherheit und DNS finden Sie unter DNSSEC in Windows Server 2012.

Domänen-Admins

Mitglieder der Sicherheitsgruppe „Domänen-Admins“ sind berechtigt, die Domäne zu verwalten. Standardmäßig ist die Gruppe "Domänenadministratoren" Mitglied der Gruppe "Administratoren" auf allen Computern, die einer Domäne beitreten, inklusive der Domänencontroller. Die Gruppe "Domänenadministratoren" ist der Standardbesitzer jedes Objekts, das in Active Directory für die Domäne von jedem Mitglied der Gruppe erstellt wird. Wenn Mitglieder der Gruppe andere Objekte erstellen, z. B. Dateien, ist die Gruppe „Administratoren“ Standardbesitzerin.

Die Gruppe „Domänen-Admins“ steuert den Zugriff auf alle Domänencontroller in einer Domäne und kann die Mitgliedschaft aller Administratorkonten in der Domäne ändern. Mitglieder der Dienstadministratorgruppen in ihrer Domäne (Administratoren und Domänen-Admins) sowie Mitglieder der Gruppe „Organisations-Admins“ können die „Domänen-Admins“-Mitgliedschaft ändern. Diese Gruppe gilt als Dienstadministratorkonto, da ihre Mitglieder vollzugriff auf die Domänencontroller in einer Domäne haben.

Domänencomputer

Diese Gruppe kann alle Computer und Server enthalten, die der Domäne beitreten, mit Ausnahme von Domänencontrollern. Standardmäßig wird jedes computerkonto, das erstellt wird, automatisch Mitglied dieser Gruppe.

Domänencontroller

Die Gruppe „Domänencontroller“ kann alle Domänencontroller in der Domäne enthalten. Neue Domänencontroller werden dieser Gruppe automatisch hinzugefügt.

Domänen-Gäste

Die Gruppe "Domänengäste" enthält das integrierte Gastkonto der Domäne. Wenn sich Mitglieder dieser Gruppe auf einem in die Domäne eingebundenen Computer als lokale Gäste anmelden, wird auf dem lokalen Computer ein Domänenprofil erstellt.

Domänenbenutzer

Die Gruppe „Domänenbenutzer“ umfasst alle Benutzerkonten in einer Domäne. Wenn Sie ein Benutzerkonto in einer Domäne erstellen, wird es dieser Gruppe standardmäßig hinzugefügt.

Mit dieser Gruppe können alle Benutzer in der Domäne dargestellt werden. Wenn beispielsweise alle Domänenbenutzer Zugriff auf einen Drucker haben sollen, können Sie dieser Gruppe Berechtigungen für den Drucker zuweisen. Alternativ können Sie die Gruppe "Domänenbenutzer" zu einer lokalen Gruppe auf dem Druckserver hinzufügen, die über Berechtigungen für den Drucker verfügt.

Organisations-Admins

Die Gruppe "Unternehmensadministratoren" ist nur in der Stammdomäne einer Active Directory-Gesamtstruktur von Domänen vorhanden. Die Gruppe ist eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet. Die Gruppe ist eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet. Mitglieder dieser Gruppe sind berechtigt, gesamtstrukturweite Änderungen in Active Directory vorzunehmen, z. B. das Hinzufügen von untergeordneten Domänen.

Standardmäßig ist das Administratorkonto für die Stammdomäne der Gesamtstruktur das einzige Mitglied der Gruppe. Diese Gruppe wird automatisch zur Gruppe „Administratoren“ in jeder Domäne in der Gesamtstruktur hinzugefügt und bietet Vollzugriff auf die Konfiguration aller Domänencontroller. Mitglieder dieser Gruppe können die Mitgliedschaft aller administrativen Gruppen ändern. Mitglieder der Standarddienstadministrator-Gruppen in der Stammdomäne können die „Organisations-Admins“-Mitgliedschaft ändern. Diese Gruppe wird als Dienstadministratorkonto betrachtet.

Enterprise Key-Administrierende

Mitglieder dieser Gruppe können Administratoraktionen für wichtige Objekte innerhalb der Gesamtstruktur ausführen.

Schreibgeschützte Enterprise-Domänencontroller

Mitglieder dieser Gruppe sind RODC im Unternehmen. Mit Ausnahme von Konto-Kennwörtern enthält ein RODC alle Active Directory-Objekte und Attribute, die ein schreibbarer Domänencontroller enthält. An der auf dem schreibgeschützten Domänencontroller gespeicherten Datenbank können jedoch keine Änderungen vorgenommen werden. Änderungen müssen auf einem beschreibbaren Domänencontroller vorgenommen und dann auf den schreibgeschützten Domänencontroller repliziert werden.

Schreibgeschützte Domänencontroller beheben einige der Probleme, die häufig in Zweigstellen auftreten. Diese Standorte verfügen möglicherweise über keinen Domänencontroller, oder sie verfügen über einen beschreibbaren Domänencontroller, aber nicht über die physische Sicherheit, Netzwerkbandbreite oder lokale Expertise für dessen Unterstützung.

Weitere Informationen finden Sie unter Was ist ein RODC?.

Ereignisprotokollleser

Mitglieder dieser Gruppe können Ereignisprotokolle von lokalen Computern lesen. Die Gruppe wird erstellt, wenn der Server zu einem Domänencontroller heraufgestuft wird. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Gruppenrichtlinienersteller-Besitzer

Diese Gruppe ist berechtigt, Gruppenrichtlinienobjekte in der Domäne zu erstellen, zu bearbeiten und zu löschen. Standardmäßig ist „Administrator“ das einzige Mitglied der Gruppe.

Informationen zu anderen Features, die Sie mit dieser Sicherheitsgruppe verwenden können, finden Sie unter Übersicht über Gruppenrichtlinien.

Gäste

Mitglieder der Gruppe "Gäste" und "Benutzer" haben standardmäßig einen ähnlichen Zugriff. Der Unterschied besteht darin, dass das Gastkonto weitere Einschränkungen hat. Standardmäßig ist das einzige Mitglied der Gruppe "Gäste" das Gastkonto. Die Gruppe "Gäste" ermöglicht es gelegentlichen oder einmaligen Benutzern, sich mit eingeschränkten Berechtigungen beim integrierten Gastkonto eines Computers anzumelden.

Wenn sich ein Mitglied der Gruppe „Gäste“ abmeldet, wird das gesamte Profil gelöscht. Die Profillöschung enthält alles, was im %userprofile% Verzeichnis gespeichert ist, einschließlich der Registrierungsstrukturinformationen des Benutzers, benutzerdefinierte Desktopsymbole und andere benutzerspezifische Einstellungen. Diese Tatsache impliziert, dass ein Gast ein temporäres Profil verwenden muss, um sich beim System anzumelden. Diese Sicherheitsgruppe interagiert mit der folgenden Gruppenrichtlinieneinstellung: Melden Sie benutzer nicht mit temporären Profilen an. Um auf diese Einstellung zuzugreifen, öffnen Sie den Gruppenrichtlinienverwaltungs-Editor und navigieren Sie dann zu Computer Configuration>Administrative Templates>System>User Profiles.

Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Hyper-V-Administratoren

Mitglieder der Grippe „Hyper-V-Administratoren“ haben vollständigen und uneingeschränkten Zugriff auf alle Features in Hyper-V. Das Hinzufügen von Mitgliedern zu dieser Gruppe trägt dazu bei, die erforderliche Anzahl von Mitgliedern in der Gruppe „Administratoren“ zu reduzieren und den Zugriff weiter zu trennen. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

IIS_IUSRS

IIS_IUSRS ist eine integrierte Gruppe, die von Internetinformationsdienste (Internet Information Services, IIS) ab IIS 7 verwendet wird. Das Betriebssystem stellt sicher, dass jedes integrierte Konto und jede Gruppe über eine eindeutige SID verfügen. IIS 7 ersetzt das Konto „IUSR_MachineName“ und die Gruppe „IIS_WPG“ durch die Gruppe „IIS_IUSRS“, um sicherzustellen, dass die tatsächlichen Namen, die das neue Konto und die Gruppe verwenden, nie lokalisiert werden. Unabhängig von der Sprache des installierten Windows-Betriebssystems lautet der IIS-Kontoname z. B. IUSR, und der Gruppenname ist IIS_IUSRS.

Weitere Informationen finden Sie unter Grundlegendes zu vordefinierten Benutzer- und Gruppenkonten in IIS 7.

Eingehende Gesamtstruktur-Vertrauensstellung

Mitglieder der Gruppe "Incoming Forest Trust Builders" können eingehende, einseitige Vertrauensstellungen in eine Gesamtstruktur erstellen. Active Directory bietet Sicherheit in mehreren Domänen oder Gesamtstrukturen über Domänen- und Gesamtstrukturvertrauensbeziehungen. Bevor die Authentifizierung über Vertrauensstellungen hinweg erfolgen kann, muss Windows feststellen, ob es sich bei der angeforderten Domäne um einen Benutzer, einen Computer oder einen Dienst handelt, der eine Vertrauensbeziehung mit der Anmeldedomäne des anfordernden Kontos hat.

Um diese Feststellung zu treffen, berechnet das Windows-Sicherheitssystem einen Vertrauenspfad zwischen dem Domänencontroller für den Server, der die Anforderung empfängt, und einem Domänencontroller in der Domäne des anfordernden Kontos. Ein gesicherter Kanal erstreckt sich über Vertrauensstellungen zwischen Domänen auf andere Active Directory-Domänen. Dieser geschützte Kanal wird verwendet, um Sicherheitsinformationen abzurufen und zu überprüfen, beispielsweise SIDs für Benutzer und Gruppen.

Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Weitere Informationen finden Sie unter Wie Domänen- und Forest-Trusts funktionieren.

Schlüsseladministratoren

Mitglieder dieser Gruppe können Administratoraktionen für wichtige Objekte innerhalb der Domäne ausführen.

Netzwerkkonfigurations-Operatoren

Mitglieder der Gruppe "Netzwerkkonfigurationsoperatoren" verfügen über die folgenden Administratorrechte zum Verwalten der Konfiguration von Netzwerkfeatures:

• Ändern der TCP/IP-Eigenschaften (Transmission Control Protocol/ Internet Protocol) für eine LAN-Verbindung (Local Area Network), die die IP-Adresse, die Subnetzmaske, das Standardgateway und die Namenserver enthält
• Benennen Sie die LAN-Verbindungen oder Remotezugriffsverbindungen um, die allen Benutzern zur Verfügung stehen
• Aktivieren oder Deaktivieren einer LAN-Verbindung
• Ändern der Eigenschaften aller Remotezugriffsverbindungen von Benutzern
• Löschen aller Remotezugriffsverbindungen von Benutzern
• Umbenennen aller Remotezugriffsverbindungen von Benutzern
• Erteilen ipconfig, ipconfig /release und ipconfig /renew Befehl
• Geben Sie den PIN-Entsperrschlüssel (PUK) für mobile Breitbandgeräte ein, die eine SIM-Karte unterstützen

Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Leistungsprotokollbenutzer

Mitglieder der Gruppe „“Leistungsprotokollbenutzer“ können Leistungszähler, Protokolle und Warnungen lokal auf dem Server und über Remoteclients verwalten, ohne Mitglied der Gruppe „Administratoren“ sein zu müssen. Insbesondere Mitglieder dieser Sicherheitsgruppe:

• Kann alle Features verwenden, die für die Gruppe „Systemmonitorbenutzer“ verfügbar sind.
• Der Ereignisanbieter „Windows Kernel-Ablaufverfolgung“ in Datensammlersätzen nicht verwendet werden.

Damit Mitglieder der Gruppe „Leistungsprotokollbenutzer“ die Datenprotokollierung initiieren oder Datensammlersätze ändern können, muss der Gruppe zunächst das Benutzerrecht Als Stapelverarbeitungsauftrag anmelden zugewiesen werden. Um dieses Benutzerrecht zuzuweisen, verwenden Sie das Snap-In „Lokale Sicherheitsrichtlinie“ in Microsoft Management Console (MMC).

Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Dieses Konto kann nicht umbenannt, gelöscht oder verschoben werden.

Systemmonitorbenutzer

Mitglieder dieser Gruppe können Leistungsindikatoren auf Domänencontrollern in der Domäne lokal und über Remoteclients überwachen, ohne Mitglied der Gruppen „Administratoren“ oder „Leistungsprotokollbenutzer“ sein zu müssen. Der Windows-Systemmonitor ist ein MMC-Snap-In (Microsoft Management Console), in dem Tools zum Analysieren der Systemleistung bereitgestellt werden. Von einer zentralen Konsole aus können Sie die Anwendungs- und Hardwareleistung überwachen, festlegen, welche Daten Sie in Protokollen erfassen möchten, Schwellenwerte für Warnungen und automatische Aktionen definieren, Berichte erstellen und ältere Leistungsdaten auf verschiedene Weise anzeigen.

Insbesondere Mitglieder dieser Sicherheitsgruppe:

• Kann alle Features verwenden, die für die Gruppe „Benutzer“ verfügbar sind.
• Kann Echtzeitleistungsdaten im Systemmonitor anzeigen.
• Kann die Systemmonitor-Anzeigeeigenschaften beim Anzeigen von Daten ändern.
• Datensammlersätze können nicht erstellt oder geändert werden.

Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Prä-Windows 2000-kompatibler Zugriff

Mitglieder der Gruppe „Prä-Windows 2000-kompatibler Zugriff“ verfügen über Lesezugriff für alle Benutzer und Gruppen in der Domäne. Diese Gruppe wird für die Abwärtskompatibilität für Computer bereitgestellt, auf denen Windows NT 4.0 und frühere Versionen ausgeführt werden. Die besondere Identitätsgruppe „Jeder“ ist standardmäßig ein Mitglied dieser Gruppe. Fügen Sie Benutzer zu dieser Gruppe nur hinzu, wenn sie Windows NT 4.0 oder früher ausführen.

Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Druckoperatoren

Mitglieder dieser Gruppe können Drucker, die mit Domänencontrollern in der Domäne verbunden sind, verwalten, erstellen, freigeben und löschen. Sie können auch Active Directory-Druckerobjekte in der Domäne verwalten. Mitglieder dieser Gruppe können sich lokal bei Domänencontrollern in der Domäne anmelden und diese herunterfahren.

Diese Gruppe besitzt keine Standardmitglieder. Da Mitglieder dieser Gruppe Gerätetreiber auf allen Domänencontrollern in der Domäne laden und entladen können, sollten Sie Benutzer mit Vorsicht hinzufügen. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Weitere Informationen finden Sie unter Zuweisen delegierter Druckadministrator- und Druckerberechtigungseinstellungen in Windows Server 2012.

Geschützte Benutzer

Mitglieder der Gruppe „Geschützte Benutzer“ verfügen über zusätzlichen Schutz vor der Kompromittierung von Anmeldeinformationen während der Authentifizierungsprozesse.

Die Sicherheitsgruppe wurde als Teil einer Strategie für den effizienten Schutz und eine effiziente Verwaltung von Anmeldeinformationen innerhalb des Unternehmens entworfen. Mitglieder dieser Gruppe haben automatisch nicht konfigurierbaren Schutz, der auf ihre Konten angewendet wird. Eine Mitgliedschaft in der Gruppe der geschützten Benutzer bedeutet standardmäßig eine restriktive und proaktive Sicherheit. Die einzige Möglichkeit, wie Sie den Schutz für ein Konto ändern können, besteht darin, das Konto aus der Sicherheitsgruppe zu entfernen.

Diese domänenbezogene globale Gruppe löst nicht konfigurierten Schutz auf Geräten und Hostcomputern ab Windows Server 2012 R2 und Windows 8.1 aus. Außerdem wird der nicht konfigurierte Schutz auf Domänencontrollern in Domänen mit einem primären Domänencontroller ausgelöst, der Windows Server 2012 R2 oder höher ausführt. Dieser Schutz reduziert den Speicherbedarf von Anmeldeinformationen erheblich, wenn Benutzer sich von einem nicht kompromittierten Computer bei Computern im Netzwerk anmelden.

Abhängig von der Domänenfunktionsebene des Kontos werden Mitglieder der Gruppe "Geschützte Benutzer" aufgrund von Verhaltensänderungen in den in Windows unterstützten Authentifizierungsmethoden weiter geschützt:

• Mitglieder der Gruppe "Geschützte Benutzer" können sich nicht mithilfe der folgenden SSPs (Security Support Providers) authentifizieren: Neuer Technologie LAN Manager (NTLM), Digest Authentication oder Credential Security Support Provider (CredSSP). Kennwörter werden nicht auf einem Gerät unter Windows 10 oder Windows 8.1 zwischengespeichert. Das Gerät kann sich nicht bei einer Domäne authentifizieren, wenn das Konto Mitglied der Gruppe "Geschützte Benutzer" ist.
• Das Kerberos-Protokoll verwendet nicht den schwächeren Data Encryption Standard (DES) oder Rivest Cipher 4 (RC4)-Verschlüsselungstypen im Vorauthentifizierungsprozess. Die Domäne muss so konfiguriert werden, dass mindestens die AES-Verschlüsselungssuite (Advanced Encryption Standard) unterstützt wird.
• Das Benutzerkonto kann nicht mit eingeschränkter oder nicht eingeschränkter Delegierung von Kerberos delegiert werden. Wenn der Benutzer Mitglied der Gruppe „Geschützte Benutzer“ ist, können frühere Verbindungen mit anderen Systemen fehlschlagen.
• Sie können die Standardmäßige Einstellung für die Gültigkeitsdauer von Kerberos-Tickets (TGTs) von vier Stunden ändern, indem Sie Authentifizierungsrichtlinien und Silos im Active Directory-Verwaltungscenter verwenden. In der Standardeinstellung muss sich der Benutzer nach vier Stunden authentifizieren.

Diese Gruppe wurde in Windows Server 2012 R2 eingeführt. Weitere Informationen zur Funktionsweise dieser Gruppe finden Sie unter Sicherheitsgruppe „Geschützte Benutzer“.

RAS- und IAS-Server

Computer, die Mitglieder der Gruppe „RAS- und IAS-Server“ sind, können bei ordnungsgemäßer Konfiguration Remotezugriffsdienste verwenden. Standardmäßig enthält diese Gruppe keine Mitglieder. Computer, die den Routing- und Remotezugriffsdienst (RRAS) ausführen, und Remotezugriffsdienste, z. B. Internetauthentifizierungsdienst (IAS) und Netzwerkrichtlinienserver, werden der Gruppe automatisch hinzugefügt. Mitglieder dieser Gruppe haben Zugriff auf bestimmte Eigenschaften von Benutzerobjekten, z. B. Kontoeinschränkungen lesen, Anmeldeinformationen lesen und Remotezugriffsinformationen lesen.

RDS-Endpunktserver

Server, die Mitglieder der RDS-Endpunktservergruppe sind, können virtuelle Computer und Hostsitzungen ausführen, in denen Benutzerprogramme des RemoteApp-Features und persönliche virtuelle Desktops ausgeführt werden. Sie müssen diese Gruppe auf Servern einrichten, auf denen der Remotedesktop-Verbindungsbroker (RD-Verbindungsbroker) ausgeführt wird. Sitzungshostserver und Remotedesktop-Virtualisierungshostserver, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Informationen über Remotedesktopdienste (RDS) finden Sie unter Remote Desktop Services overview in Windows Server.

RDS-Verwaltungsserver

Sie können Server verwenden, die Mitglieder der Gruppe "RDS-Verwaltungsserver" sind, um routinemäßige administrative Aktionen auf Servern auszuführen, auf denen RDS ausgeführt wird. Sie müssen diese Gruppe auf allen Servern in einer RDS-Bereitstellung auffüllen. Die Server, auf denen der RDS Central Management Service ausgeführt wird, müssen in dieser Gruppe enthalten sein. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

RDS-Remotezugriffsserver

Server in der Gruppe "RDS-Remotezugriffsserver" bieten Benutzern Zugriff auf die Programme des RemoteApp-Features und persönliche virtuelle Desktops. Bei Bereitstellungen mit Internetzugriff werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Sie müssen diese Gruppe auf Servern auffüllen, auf denen der RD-Verbindungsbroker ausgeführt wird. Remotedesktopgatewayserver (RD-Gateway) und Remotedesktopwebzugriffsserver (RD Web Access), die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Weitere Informationen finden Sie unter Remote Desktop Services overview in Windows Server.

Read-only-Domänencontroller

Diese Gruppe besteht aus den schreibgeschützten Domänencontrollern in der Domäne. Ein RODC ermöglicht Organisationen die einfache Bereitstellung eines Domänencontrollers in Szenarien, in denen physische Sicherheit nicht garantiert werden kann. Ein Beispielszenario ist ein Zweigstellenstandort oder lokaler Speicher aller Domänen-Kennwörter, die als primäre Bedrohung betrachtet werden, z. B. in einer Extranet- oder Anwendungsrolle.

Da Sie die Verwaltung eines RODC an einen Domänenbenutzer oder eine Sicherheitsgruppe delegieren können, eignet sich ein RODC gut für eine Website, die keinen Benutzer hat, der Mitglied der Gruppe "Domänenadministratoren" ist. Ein schreibgeschützter Domänencontroller verfügt über folgende Funktionen:

• Eine schreibgeschützte AD DS-Datenbank
• Unidirektionale Replikation
• Zwischenspeichern von Anmeldeinformationen
• Administratorrollentrennung
• Schreibgeschütztes DNS

Weitere Informationen finden Sie unter Verständnis der Planung und Bereitstellung für schreibgeschützte Domänencontroller.

Remotedesktopbenutzer

Sie können die Gruppe "Remotedesktopbenutzer" auf einem Remotedesktopsitzungshostserver (RD-Sitzungshost) verwenden, um Benutzern und Gruppen Berechtigungen für die Remoteverbindung mit einem RD-Sitzungshostserver zu erteilen. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden. Die Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO).

Remoteverwaltungsbenutzer

Mitglieder der Gruppe "Remoteverwaltungsbenutzer" können über Verwaltungsprotokolle wie Webdienste für die Verwaltung (WS-Management) über den Windows-Remoteverwaltungsdienst auf Windows-Verwaltungsinstrumentationsressourcen (WMI) zugreifen. Der Zugriff auf WMI-Ressourcen gilt nur für WMI-Namespaces, die dem Benutzer Zugriff gewähren.

Verwenden Sie die Gruppe „Remoteverwaltungsbenutzer“, um Benutzern die Verwaltung von Servern über die Server-Manager-Konsole zu ermöglichen. Verwenden Sie die gruppe WinRMRemoteWMIUsers__ , um Benutzern die Remoteausführung von Windows PowerShell-Befehlen zu ermöglichen.

Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Weitere Informationen finden Sie unter Informationen zu WMI und Neuerungen in MI.

Replikator

Computer, die Mitglieder der Replikationsgruppe sind, unterstützen die Dateireplikation in einer Domäne. Windows Server verwendet den Dateireplikationsdienst (FILE Replication Service, FRS), um Systemrichtlinien und Anmeldeskripts zu replizieren, die im Ordner "System Volume" (Sysvol- Ordner) gespeichert sind. Jeder Domänencontroller speichert eine Kopie des Ordners „sysvol“, auf den Netzwerkclients zugreifen können. FRS kann auch Daten für das verteilte Dateisystem (Distributed File System, DFS) replizieren und den Inhalt jedes Mitglieds in einem Replikatsatz synchronisieren, wie vom DFS definiert. FRS kann freigegebene Dateien und Ordner gleichzeitig auf mehreren Servern kopieren und verwalten. Wenn Änderungen auftreten, werden Inhalte innerhalb von Websites sofort und zwischen Websites nach einem Zeitplan synchronisiert.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• File Replication Service (FRS) ist veraltet in Windows Server 2008 R2 (Windows)
• DFS-Namensräume und DFS-Replikation im Überblick

Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Schema-Admins

Mitglieder der Gruppe "Schemaadministratoren" können das Active Directory-Schema ändern. Diese Gruppe ist nur in der Stammdomäne einer Active Directory-Gesamtstruktur von Domänen vorhanden. Die Gruppe ist eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet. Diese Gruppe ist eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet.

Standardmäßig ist das Administratorkonto für die Stammdomäne der Gesamtstruktur das einzige Mitglied der Gruppe. Diese Gruppe hat vollständigen administrativen Zugriff auf das Schema.

Jede der Dienstadministratorgruppen in der Stammdomäne kann die Mitgliedschaft dieser Gruppe ändern. Diese Gruppe wird als Dienstadministratorkonto betrachtet, da die Mitglieder das Schema ändern können, das die Struktur und den Inhalt des gesamten Verzeichnisses steuert.

Weitere Informationen finden Sie unter Was ist das Active Directory-Schema?

Server-Operatoren

Mitglieder der Gruppe „Server-Operatoren“ können Domänencontroller verwalten. Diese Gruppe ist nur auf Domänencontrollern vorhanden. Standardmäßig verfügt diese Gruppe über keine Mitglieder und kann nicht umbenannt, gelöscht oder entfernt werden. Mitglieder der Gruppe "Serveroperatoren" können die folgenden Aktionen ausführen:

• Interaktive Anmeldung bei einem Server
• Erstellen und Löschen freigegebener Netzwerkressourcen
• Beenden und Starten von Diensten
• Sichern und Wiederherstellen von Dateien
• Formatieren der Festplatte des Geräts
• Herunterfahren des Geräts

Standardmäßig enthält diese vordefinierte Gruppe keine Mitglieder. Diese Gruppe hat Zugriff auf Serverkonfigurationsoptionen auf Domänencontrollern. Ihre Mitgliedschaft wird über die Dienstadministratorgruppen „Admins“ und „Domänen-Admins“ in der Domäne sowie durch die Gruppe „Organisations-Admins“ in der Stammdomäne der Gesamtstruktur gesteuert. Mitglieder dieser Gruppe können keine Administratorgruppenmitgliedschaften ändern. Diese Gruppe gilt als Dienstadministratorkonto, da ihre Mitglieder physischen Zugriff auf Domänencontroller haben. Mitglieder dieser Gruppe können Wartungsaufgaben wie Sicherung und Wiederherstellung ausführen und auf den Domänencontrollern installierte Binärdateien ändern. Die Standardbenutzerrechte der Gruppe finden Sie in der folgenden Tabelle.

Speicherreplikatadministratoren

Mitglieder der Gruppe "Speicherreplikatadministratoren" haben vollständigen und uneingeschränkten Zugriff auf alle Features des Speicherreplikattools.

Systemseitig verwaltete Konten

Die Mitgliedschaft der Gruppe „Systemseitig verwaltete Konten“ wird vom System verwaltet. Diese Gruppe enthält das standardmäßige systemverwaltete Konto (DSMA), das Systemfunktionen erleichtert.

Terminalserver-Lizenzserver

Mitglieder der Gruppe "Terminalserver-Lizenzserver" können Benutzerkonten in Active Directory mit Informationen zur Lizenzausstellung aktualisieren. Die Gruppe dient dazu, die Nutzung der Terminalserver-Pro-Benutzter-Clientzugriffslizenz (TS Per User CAL) zu verfolgen und zu melden. Eine TS-Pro-Benutzer-CAL gibt einem Benutzer das Recht, von einer unbegrenzten Anzahl von Clientcomputern oder Geräten auf eine Terminal Server-Instanz zuzugreifen. Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Weitere Informationen zu dieser Sicherheitsgruppe finden Sie unter Konfiguration der Sicherheitsgruppe „Terminaldienste-Lizenzserver“.

Benutzer

Versehentliche oder beabsichtigte systemweite Änderungen durch Mitglieder der Gruppe „Benutzer“ sind nicht möglich. Mitglieder dieser Gruppe können die meisten Anwendungen ausführen. Nach der Erstinstallation des Betriebssystems ist das einzige Mitglied die Gruppe "Authentifizierte Benutzer". Wenn ein Computer einer Domäne beitritt, wird die Gruppe „Domänenbenutzer“ der Gruppe „Benutzer“ auf dem Computer hinzugefügt.

Benutzer können Aufgaben ausführen, z. B. eine Anwendung ausführen, lokale Drucker und Netzwerkdrucker verwenden, den Computer herunterfahren und den Computer sperren. Benutzer können Anwendungen installieren, die nur sie verwenden können, wenn das Installationsprogramm der Anwendung die Installation pro Benutzer unterstützt. Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

Windows-Autorisierungszugriff

Mitglieder dieser Gruppe haben Zugriff auf das tokenGroupsGlobalAndUniversal Attribut für Benutzerobjekte. Dieser Zugriff ist nützlich, da einige Anwendungsfeatures das token-groups-global-and-universal Attribut (TGGAU) für Benutzerkontoobjekte oder computerkontoobjekte in AD DS lesen. Einige Win32-Funktionen erleichtern das Lesen des TGGAU Attributs. Anwendungen, die dieses Attribut lesen oder eine API aufrufen, die dieses Attribut liest, sind jedoch nicht erfolgreich, wenn der aufrufende Sicherheitskontext keinen Zugriff auf das Attribut hat. Diese Gruppe erleichtert das Gewähren des Lesezugriffs auf das Attribut.

Diese Gruppe wird als SID angezeigt, bis der Domänencontroller zum primären Domänencontroller gemacht wird, und sie verfügt über die Rolle des Betriebsmasters (FSMO). Diese Gruppe kann nicht umbenannt, gelöscht oder entfernt werden.

WinRMRemoteWMIUsers__

Ab Windows Server 2012 und Windows 8 enthält die Benutzeroberfläche für erweiterte Sicherheitseinstellungen eine Registerkarte "Freigeben ". Auf dieser Registerkarte werden die Sicherheitseigenschaften einer Remotedateifreigabe angezeigt. Um diese Informationen anzuzeigen, müssen Sie über die folgenden Berechtigungen und Mitgliedschaften verfügen:

• Sie müssen ein Mitglied der Gruppe „WinRMRemoteWMIUsers__“ oder der Gruppe „BUILTIN\Administrators“ sein.
• Sie müssen über Leseberechtigungen für die Dateifreigabe verfügen.

In Windows Server 2012 fügt die Funktion „Unterstützung nach ‚Zugriff verweigert‘“ der lokalen Gruppe „WinRMRemoteWMIUsers__“ die Gruppe „Authentifizierte Benutzer“ hinzu. Wenn die Funktion „Unterstützung nach ‚Zugriff verweigert‘“ aktiviert ist, können alle authentifizierten Benutzer, die über Leseberechtigungen für die Dateifreigabe verfügen, die Dateifreigabeberechtigungen anzeigen.

Verwandte Inhalte

• Sicherheitsprinzipale
• Spezielle Identitätsgruppen
• Übersicht über die Zugriffssteuerung