Groupes de sécurité Active Directory

Cet article décrit les groupes de sécurité Active Directory par défaut, l’étendue de groupe et les fonctions de groupe.

Qu’est-ce qu’un groupe de sécurité dans Active Directory ?

Active Directory a deux formes de principaux de sécurité courants : les comptes d’utilisateur et les comptes d’ordinateur. Ces comptes représentent une entité physique qui est une personne ou un ordinateur. Un compte d’utilisateur peut également être utilisé comme compte de service dédié pour certaines applications.

Les groupes de sécurité sont un moyen de rassembler des comptes d’utilisateur, des comptes d’ordinateur et d’autres groupes dans des unités gérables.

Dans le système d’exploitation Windows Server, plusieurs comptes et groupes de sécurité intégrés sont préconfigurés avec les droits et autorisations appropriés pour effectuer des tâches spécifiques. Dans Active Directory, les responsabilités administratives sont séparées en deux types d’administrateurs :

• Administrateurs de service : responsable de la maintenance et de la distribution des services de domaine Active Directory (AD DS), notamment la gestion des contrôleurs de domaine et la configuration d’AD DS
• Administrateurs de données : responsable de la maintenance des données stockées dans AD DS et sur des serveurs membres de domaine et des stations de travail

Fonctionnement des groupes de sécurité Active Directory

Vous pouvez utiliser des groupes pour collecter des comptes d’utilisateur, des comptes d’ordinateur et d’autres groupes dans des unités gérables. Travailler avec des groupes plutôt qu’avec des utilisateurs individuels vous permet de simplifier la maintenance et l’administration du réseau.

Active Directory a deux types de groupes :

• Groupes de sécurité : utilisé pour attribuer des autorisations à des ressources partagées.
• Groupes de distribution : utilisé pour créer des listes de distribution de courrier électronique.

Groupes de sécurité

Les groupes de sécurité peuvent constituer un moyen efficace d’autoriser l’accès aux ressources de votre réseau. Grâce aux groupes de sécurité, vous pouvez :

• Attribuez des droits utilisateur aux groupes de sécurité dans Active Directory.

  Vous pouvez affecter des droits d’utilisateur à un groupe de sécurité pour déterminer ce que les membres de ce groupe peuvent faire dans l’étendue d’un domaine ou d’une forêt. Les droits utilisateur sont automatiquement attribués à certains groupes de sécurité lorsque Active Directory est installé pour aider les administrateurs à définir le rôle d’administration d’une personne dans le domaine.

  Par exemple, un utilisateur que vous ajoutez au groupe Opérateurs de sauvegarde dans Active Directory peut sauvegarder et restaurer des fichiers et des répertoires situés sur chaque contrôleur de domaine du domaine. L’utilisateur peut effectuer ces actions car, par défaut, les droits de l’utilisateur Sauvegarder les fichiers et les répertoires et Restaurer les fichiers et les répertoires sont attribués automatiquement au groupe Opérateurs de sauvegarde. Par conséquent, les membres de ce groupe héritent des droits de l’utilisateur qui sont attribués à ce groupe.

  Vous pouvez utiliser Stratégie de groupe pour attribuer des droits de l’utilisateur à des groupes de sécurité afin de déléguer des tâches spécifiques. Pour plus d’informations sur l’utilisation de Stratégie de groupe, consultez Attribution de droits de l’utilisateur.

• Attribuer des autorisations à des groupes de sécurité pour des ressources.

  Les autorisations sont différentes des droits d’utilisateurs. Les autorisations sont attribuées à un groupe de sécurité pour une ressource partagée. Les autorisations déterminent qui peut accéder à la ressource ainsi que le niveau d’accès, par exemple Contrôle total ou Lecture. Certaines autorisations définies sur des objets de domaine sont attribuées automatiquement afin d’accorder divers niveaux d’accès aux groupes de sécurité par défaut, tels que les groupes Opérateurs de compte ou Admins du domaine.

  Les groupes de sécurité sont répertoriés dans des listes de contrôle d’accès discrétionnaires (DACL) qui définissent des autorisations sur les ressources et les objets. Lorsque les administrateurs attribuent des autorisations pour des ressources telles que des partages de fichiers ou des imprimantes, ils doivent attribuer ces autorisations à un groupe de sécurité plutôt qu’à des utilisateurs individuels. Les autorisations sont attribuées une seule fois au groupe, plutôt que plusieurs fois à chaque utilisateur individuel. Chaque compte ajouté à un groupe reçoit les droits attribués à ce groupe dans Active Directory. L’utilisateur reçoit des autorisations qui sont définies pour ce groupe.

Vous pouvez utiliser un groupe de sécurité en tant qu’entité d’e-mail. L’envoi d’un e-mail à un groupe de sécurité entraîne l’envoi du message à tous les membres du groupe.

Groupes de distribution

Vous pouvez utiliser des groupes de distribution uniquement pour envoyer des e-mails à des collections d’utilisateurs à l’aide d’une application d’e-mail telle qu’Exchange Server. Les groupes de distribution ne sont pas activés pour la sécurité. Vous ne pouvez donc pas les inclure dans des listes DACL.

Étendue du groupe

Chaque groupe a une étendue qui identifie le degré d’application du groupe dans la forêt ou l’arborescence de domaine. L’étendue d’un groupe définit les zones du réseau où les autorisations peuvent être accordées pour le groupe. Active Directory définit les trois étendues de groupe suivantes :

• Universal
• Global
• Domaine local

Le tableau suivant décrit les trois étendues de groupe et leur fonctionnement en tant que groupes de sécurité :

Groupes d’identités spéciales

Un groupe d’identités spécial est l’endroit où certaines identités spéciales sont regroupées. Les groupes d’identité spéciaux n’ont pas d’appartenances spécifiques que vous pouvez modifier, mais ils peuvent représenter différents utilisateurs à différents moments en fonction des circonstances. Ces groupes incluent Le propriétaire du créateur, batch et l’utilisateur authentifié.

Pour plus d’informations, consultez Groupes d’identités spéciales.

Groupes de sécurité par défaut

Les groupes par défaut comme le groupe Administrateurs de domaine sont des groupes de sécurité créés automatiquement lorsque vous créez un domaine Active Directory. Ces groupes prédéfinis peuvent vous aider à contrôler l’accès aux ressources partagées et à déléguer des rôles d’administration spécifiques à l’échelle du domaine.

De nombreux groupes par défaut sont automatiquement affectés à un ensemble de droits utilisateur. Ces droits autorisent les membres du groupe à effectuer des actions spécifiques dans un domaine, telles que la connexion à un système local ou la sauvegarde de fichiers et de dossiers. Par exemple, un membre du groupe Opérateurs de sauvegarde peut effectuer des opérations de sauvegarde pour tous les contrôleurs de domaine du domaine.

Lorsque vous ajoutez un utilisateur à un groupe, cet utilisateur reçoit tous les droits de l’utilisateur attribués au groupe, y compris toutes les autorisations attribuées au groupe pour les éventuelles ressources partagées.

Les groupes par défaut se trouvent dans le conteneur Builtin ou le conteneur Users dans l’outil Utilisateurs et ordinateurs de Active Directory. Le conteneur Builtin inclut des groupes qui sont définis avec l’étendue Domaine local. Le conteneur Users inclut des groupes définis avec une étendue Global et des groupes définis avec une étendue Domaine local. Vous pouvez déplacer des groupes situés dans ces conteneurs vers d’autres groupes ou unités d’organisation au sein du domaine. Mais vous ne pouvez pas les déplacer vers d’autres domaines.

Certains des groupes d’administration listés dans cet article et tous les membres de ces groupes sont protégés par un processus en arrière-plan qui recherche et applique régulièrement un descripteur de sécurité spécifique. Ce descripteur est une structure de données qui contient les informations de sécurité associées à un objet protégé. Ce processus garantit que toute tentative non autorisée et réussie de modification du descripteur de sécurité sur l’un des comptes d’administration ou groupes est remplacée par les paramètres protégés.

Le descripteur de sécurité est présent sur l’objet AdminSDHolder. Si vous souhaitez modifier les autorisations sur l’un des groupes d’administrateurs de service ou sur l’un de ses comptes membres, vous devez modifier le descripteur de sécurité sur l’objet AdminSDHolder afin qu’il soit appliqué de manière cohérente. Soyez prudent lorsque vous apportez ces modifications, car vous modifiez également les paramètres par défaut appliqués à tous vos comptes d’administration protégés.

Chaque groupe de sécurité par défaut a un identificateur unique qui se compose de plusieurs composants. Parmi ces composants, il s’agit d’un ID relatif (RID), qui est unique dans le domaine du groupe.

Groupes de sécurité Active Directory par défaut

Les liens suivants mènent à des descriptions des groupes par défaut situés dans le conteneur Intégré ou le conteneur Utilisateurs dans Active Directory.

• Opérateurs d’assistance de contrôle d’accès
• Opérateurs de compte
• Administrators
• Groupe de réplication dont le mot de passe RODC est autorisé
• Opérateurs de sauvegarde
• Accès DCOM au service de certificats
• Serveurs de publication de certificats
• Contrôleurs de domaine clonables
• Opérateurs de chiffrement
• Groupe de réplication dont le mot de passe RODC est refusé
• Propriétaires d’appareils
• Administrateurs DHCP
• Utilisateurs DHCP
• Utilisateurs du modèle COM distribué
• DnsUpdateProxy
• DnsAdmins
• Administrateurs de domaine
• Ordinateurs de domaine
• Contrôleurs de domaine
• Invités du domaine
• Utilisateurs du domaine
• Administrateurs d’entreprise
• Administrateurs de clés d’entreprise
• Contrôleurs de domaine d’entreprise en lecture seule
• Lecteurs des journaux d’événements
• Propriétaires créateurs de la stratégie de groupe
• Guests
• administrateursHyper-V
• IIS_IUSRS
• Générateurs d’approbation de forêt entrante
• Administrateurs clés
• Opérateurs de configuration réseau
• Utilisateurs du journal des performances
• Utilisateurs de l’analyseur de performances
• Accès compatible pré-Windows 2000
• Opérateurs d’impression
• Utilisateurs protégés
• Serveurs RAS et IAS
• Serveurs de points de terminaison RDS
• Serveurs Gestion RDS
• Serveurs Accès Distant RDS
• Contrôleurs de domaine en lecture seule
• Utilisateurs du Bureau à distance
• Utilisateurs de gestion à distance
• Replicator
• Administrateurs de schéma
• Opérateurs de serveur
• Administrateurs de réplica de stockage
• Comptes gérés par le système
• Serveurs de licences des services Terminal Server
• Users
• Groupe d’accès d’autorisation Windows
• WinRMRemoteWMIUsers__

Opérateurs d’assistance de contrôle d’accès

Les membres de ce groupe peuvent interroger à distance les attributs d’autorisation et les autorisations pour les ressources sur l’ordinateur. Ce groupe ne peut pas être renommé ou supprimé.

Opérateurs de compte

Le groupe Opérateurs de compte accorde des privilèges de création de compte limités à un utilisateur. Les membres de ce groupe peuvent créer et modifier la plupart des types de comptes, y compris les comptes pour les utilisateurs, les groupes Local et les groupes Global. Les membres du groupe peuvent se connecter localement aux contrôleurs de domaine.

Les membres du groupe Opérateurs de compte ne peuvent pas modifier les droits utilisateur. En outre, les membres de ce groupe ne peuvent pas gérer les comptes et groupes suivants :

• Compte d’utilisateur administrateur
• Comptes d’utilisateur des administrateurs
• Administrators
• Opérateurs de serveur
• Opérateurs de compte
• Opérateurs de sauvegarde
• Opérateurs d’impression

Ce groupe ne peut pas être renommé ou supprimé.

Administrators

Les membres du groupe Administrateurs ont un accès total et sans restriction à l’ordinateur. Si l’ordinateur est promu contrôleur de domaine, les membres du groupe Administrateurs disposent d’un accès sans restriction au domaine.

Groupe de réplication dont le mot de passe RODC est autorisé

L’objectif de ce groupe de sécurité est de gérer une stratégie de réplication de mot de passe de contrôleur de domaine en lecture seule (RODC). Ce groupe n’a aucun membre par défaut. Les nouveaux RODCs ne mettent pas en cache les identifiants des utilisateurs. Le Groupe de réplication dont le mot de passe RODC est refusé contient différents groupes de sécurité et comptes à privilèges élevés. Le Groupe de réplication dont le mot de passe RODC est refusé l’emporte sur le Groupe de réplication dont le mot de passe RODC est autorisé. Ce groupe ne peut pas être renommé ou supprimé.

Opérateurs de sauvegarde

Les membres du groupe Opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers sur un ordinateur, quelles que soient les autorisations qui protègent ces fichiers. Les opérateurs de sauvegarde peuvent également se connecter à l’ordinateur et l’arrêter. Ce groupe ne peut pas être renommé ou supprimé. Par défaut, ce groupe intégré n’a aucun membre, et il peut effectuer des opérations de sauvegarde et de restauration sur les contrôleurs de domaine. Les membres des groupes suivants peuvent modifier l’appartenance des opérateurs de sauvegarde : administrateurs de service par défaut, administrateurs de domaine dans le domaine et administrateurs d’entreprise. Les membres du groupe Opérateurs de sauvegarde ne peuvent pas modifier l’appartenance à des groupes d’administration. Bien que les membres de ce groupe ne puissent pas modifier les paramètres du serveur ni modifier la configuration du répertoire, ils disposent des autorisations nécessaires pour remplacer les fichiers (y compris les fichiers de système d’exploitation) sur les contrôleurs de domaine. Étant donné que les membres de ce groupe peuvent remplacer des fichiers sur des contrôleurs de domaine, ils sont considérés comme des administrateurs de service.

Accès DCOM au service de certificats

Les membres de ce groupe peuvent se connecter aux autorités de certification de l’entreprise. Ce groupe ne peut pas être renommé ou supprimé.

Éditeurs de certificats

Les membres du groupe Cert Publishers sont autorisés à publier des certificats pour les objets utilisateur dans Active Directory. Ce groupe ne peut pas être renommé ou supprimé.

Contrôleurs de domaine clonables

Les membres du groupe Contrôleurs de domaine clonés qui sont des contrôleurs de domaine peuvent être clonés. Dans Windows Server 2012 R2 et Windows Server 2012, vous pouvez déployer des contrôleurs de domaine en copiant un contrôleur de domaine virtuel existant. Dans un environnement virtuel, vous ne pouvez pas déployer à plusieurs reprises une image serveur préparée à l’aide de l’outil Sysprep.exe . La promotion du serveur vers un contrôleur de domaine, puis l’exécution de conditions de configuration supplémentaires pour le déploiement de chaque contrôleur de domaine (y compris l’ajout du contrôleur de domaine virtuel à ce groupe de sécurité) n’est pas non plus autorisée. Ce groupe ne peut pas être renommé ou supprimé.

Pour plus d’informations, consultez l’article Virtualisation sécurisée Active Directory Domain Services (AD DS).

Opérateurs de chiffrement

Les membres de ce groupe sont autorisés à réaliser des opérations de chiffrement. Ce groupe de sécurité configure le Pare-feu Windows pour IPsec en mode Critères communs. Ce groupe ne peut pas être renommé ou supprimé.

Groupe de réplication dont le mot de passe RODC est refusé

Les mots de passe des membres du Groupe de réplication dont le mot de passe RODC est refusé ne peuvent pas être répliqués sur un contrôleur de domaine.

L’objectif de ce groupe de sécurité est de gérer une stratégie de réplication de mot de passe RODC. Ce groupe contient différents groupes de sécurité et comptes à privilèges élevés. Le Groupe de réplication dont le mot de passe RODC est refusé l’emporte sur le Groupe de réplication dont le mot de passe RODC est autorisé.

Propriétaires d’appareils

Lorsque le groupe Propriétaires d’appareils n’a aucun membre, nous vous recommandons de ne pas modifier la configuration par défaut de ce groupe de sécurité. La modification de la configuration par défaut peut entraver les scénarios ultérieurs qui s’appuient sur ce groupe. Le groupe Propriétaires d’appareils n’est actuellement pas utilisé dans Windows.

Administrateurs DHCP

Les membres du groupe Administrateurs DHCP peuvent créer, supprimer et gérer différentes zones de l’étendue du serveur. Les droits de groupe incluent la possibilité de sauvegarder et de restaurer la base de données DHCP (Dynamic Host Configuration Protocol). Même si ce groupe dispose de droits d’administration, il ne fait pas partie du groupe Administrateurs car ce rôle est limité aux services DHCP.

Utilisateurs DHCP

Les membres du groupe Utilisateurs DHCP peuvent voir quelles étendues sont actives ou inactives, y compris les adresses IP affectées. Les membres du groupe peuvent également afficher les problèmes de connectivité si le serveur DHCP n’est pas configuré correctement. Ce groupe est limité à l’accès en lecture seule au serveur DHCP.

Utilisateurs du modèle COM distribué

Les membres du groupe Utilisateurs COM distribués peuvent lancer, activer et utiliser des objets DCOM (Distributed Component Object Model) sur l’ordinateur. Le modèle COM (Component Object Model) Microsoft est un système distribué, orienté objet et indépendant de toute plateforme qui permet de créer des composants logiciels binaires capables d’interagir. Lorsque vous utilisez des objets DCOM, vous pouvez distribuer vos applications entre des emplacements qui vous conviennent le mieux et pour les applications. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine devienne le contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations, ce qui est également appelé rôle FSMO (Flexible Single Master Operations). Ce groupe ne peut pas être renommé ou supprimé.

DnsUpdateProxy

Les membres du groupe DnsUpdateProxy sont des clients DNS (Domain Name System). Ils sont autorisés à effectuer des mises à jour dynamiques pour le compte d’autres clients, tels que les serveurs DHCP. Un serveur DNS peut développer des enregistrements de ressources obsolètes lorsqu’un serveur DHCP est configuré de façon à inscrire dynamiquement des enregistrements de ressources d’hôte (A) et de pointeur (PTR) pour le compte de clients DHCP à l’aide d’une mise à jour dynamique. L’ajout de clients à ce groupe de sécurité atténue ce scénario.

Pour vous protéger contre les enregistrements non sécurisés ou pour autoriser les membres du groupe DnsUpdateProxy à inscrire des enregistrements dans des zones qui autorisent uniquement les mises à jour dynamiques sécurisées, vous devez créer un compte d’utilisateur dédié. Vous devez également configurer des serveurs DHCP pour effectuer des mises à jour dynamiques DNS à l’aide du nom d’utilisateur, du mot de passe et du domaine de ce compte. Plusieurs serveurs DHCP peuvent utiliser les informations d’identification d’un même compte d’utilisateur dédié. Ce groupe existe uniquement si le rôle serveur DNS est ou a déjà été installé sur un contrôleur de domaine dans le domaine.

Pour plus d’informations, consultez Propriété d’enregistrement DNS et le groupe DnsUpdateProxy.

DnsAdmins

Les membres du groupe DnsAdmins ont accès aux informations DNS du réseau. Par défaut, les membres de ce groupe reçoivent les autorisations suivantes : la lecture, l'écriture, la création de tous les objets enfants, la suppression des objets enfants et des autorisations spéciales. Ce groupe existe uniquement si le rôle serveur DNS est ou a déjà été installé sur un contrôleur de domaine dans le domaine.

Pour plus d’informations sur la sécurité et DNS, consultez DNSSEC dans Windows Server 2012.

Administrateurs de domaine

Les membres du groupe de sécurité Admins du domaine sont autorisés à administrer le domaine. Par défaut, le groupe Administrateurs de domaine est membre du groupe Administrateurs sur tous les ordinateurs qui rejoignent un domaine, y compris les contrôleurs de domaine. Le groupe Administrateurs de domaine est le propriétaire par défaut de tout objet créé dans Active Directory pour le domaine par n’importe quel membre du groupe. Si des membres du groupe créent d’autres objets, tels que des fichiers, le propriétaire par défaut est le groupe Administrateurs.

Le groupe Admins du domaine contrôle l’accès à tous les contrôleurs de domaine d’un domaine, et peut modifier l’appartenance de tous les comptes d’administration dans le domaine. Les membres des groupes d’administrateurs de service dans son domaine (Administrateurs et Admins du domaine) et les membres du groupe Administrateurs de l’entreprise peuvent modifier l’appartenance d’Admins du domaine. Ce groupe est considéré comme un compte d’administrateur de service, car ses membres ont un accès total aux contrôleurs de domaine d’un domaine.

Ordinateurs de domaine

Ce groupe peut inclure tous les ordinateurs et serveurs qui rejoignent le domaine, à l’exclusion des contrôleurs de domaine. Par défaut, tout compte d’ordinateur créé devient automatiquement membre de ce groupe.

Contrôleurs de domaine

Le groupe Contrôleurs de domaine peut inclure tous les contrôleurs de domaine du domaine. Les nouveaux contrôleurs de domaine sont automatiquement ajoutés à ce groupe.

Invités du domaine

Le groupe Invités du domaine inclut le compte invité intégré du domaine. Lorsque des membres de ce groupe se connectent en tant qu’invités locaux sur un ordinateur joint à un domaine, un profil de domaine est créé sur l’ordinateur local.

Utilisateurs du domaine

Le groupe Utilisateurs du domaine inclut tous les comptes d’utilisateur d’un domaine. Lorsque vous créez un compte d’utilisateur dans un domaine, il est ajouté à ce groupe par défaut.

Vous pouvez utiliser ce groupe pour représenter tous les utilisateurs dans le domaine. Par exemple, si vous souhaitez que tous les utilisateurs du domaine aient accès à une imprimante, vous pouvez attribuer des autorisations pour l’imprimante à ce groupe. Vous pouvez également ajouter le groupe Utilisateurs du domaine à un groupe local sur le serveur d’impression disposant d’autorisations pour l’imprimante.

Administrateurs d’entreprise

Le groupe Administrateurs d’entreprise existe uniquement dans le domaine racine d’une forêt Active Directory de domaines. Ce groupe est un groupe Universel si le domaine est en mode natif. Le groupe est un groupe Global si le domaine est en mode mixte. Les membres de ce groupe sont autorisés à apporter des modifications à l’échelle de la forêt dans Active Directory, comme l’ajout de domaines enfants.

Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de la forêt. Ce groupe est automatiquement ajouté au groupe Administrateurs dans chaque domaine de la forêt, et fournit un accès complet à la configuration de tous les contrôleurs de domaine. Les membres de ce groupe peuvent modifier l’appartenance à tous les groupes d’administration. Les membres des groupes d’administrateurs de service par défaut dans le domaine racine peuvent modifier l’appartenance du groupe Administrateurs de l’entreprise. Ce groupe est considéré comme un compte d’administrateur de service.

Administrateurs de clés d'entreprise

Les membres de ce groupe peuvent effectuer des actions administratives sur des objets clés au sein de la forêt.

Contrôleurs de domaine d’entreprise en lecture seule

Les membres de ce groupe sont des contrôleurs de domaine en lecture seule (RODC) dans l’entreprise. À l’exception des mots de passe de compte, un RODC contient tous les objets et attributs Active Directory qu’un contrôleur de domaine accessible en écriture contient. Toutefois, aucune modification ne peut être apportée à la base de données stockée sur le RODC. Les modifications doivent être effectuées sur un contrôleur de domaine accessible en écriture, puis répliquées sur le RODC.

Les RODC permettent de résoudre certains des problèmes couramment rencontrés dans les succursales. Ces emplacements peuvent ne pas avoir de contrôleur de domaine, ou ils peuvent avoir un contrôleur de domaine accessible en écriture, mais pas la sécurité physique, la bande passante réseau ou l’expertise locale pour le prendre en charge.

Pour plus d’informations, consultez Qu’est-ce qu’un rodc ?.

Lecteurs des journaux d’événements

Les membres de ce groupe peuvent lire les journaux d’événements à partir d’ordinateurs locaux. Le groupe est créé lorsque le serveur est promu en contrôleur de domaine. Ce groupe ne peut pas être renommé ou supprimé.

Propriétaires créateurs de la stratégie de groupe

Ce groupe est autorisé à créer, à modifier et à supprimer des objets de stratégie de groupe dans le domaine. Par défaut, le seul membre du groupe est Administrateur.

Pour plus d’informations sur les autres fonctionnalités que vous pouvez utiliser avec ce groupe de sécurité, consultez Vue d’ensemble de la stratégie de groupe.

Guests

Les membres du groupe Invités et Utilisateurs ont un accès similaire par défaut. La différence est que le compte invité a d’autres restrictions. Par défaut, le seul membre du groupe Invités est le compte Invité. Le groupe Invités permet aux utilisateurs occasionnels ou ponctuels de se connecter avec des privilèges limités au compte invité intégré d’un ordinateur.

Lorsqu’un membre du groupe Invités se déconnecte, le profil entier est supprimé. La suppression du profil inclut tout ce qui est stocké dans le répertoire %userprofile%, y compris les informations de ruche du registre de l’utilisateur, les icônes de bureau personnalisées et d’autres paramètres spécifiques à l’utilisateur. Ce fait implique qu’un invité doit utiliser un profil temporaire pour se connecter au système. Ce groupe de sécurité interagit avec le paramètre de stratégie de groupe suivant : ne connectez pas les utilisateurs avec des profils temporaires. Pour accéder à ce paramètre, ouvrez l’éditeur de gestion des stratégies de groupe, puis accédez à la configuration de l'ordinateur>modèles d'administration>système>profils utilisateur.

Ce groupe ne peut pas être renommé ou supprimé.

administrateurs Hyper-V

Les membres du groupe Administrateurs Hyper-V disposent d’un accès complet et sans restriction à toutes les fonctionnalités d’Hyper-V. L’ajout de membres à ce groupe permet de réduire le nombre de membres requis dans le groupe Administrateurs, et de séparer davantage l’accès. Ce groupe ne peut pas être renommé ou supprimé.

IIS_IUSRS

IIS_IUSRS est un groupe intégré utilisé par Internet Information Services (IIS), à partir d’IIS 7. Le système d’exploitation garantit que chaque compte et groupe intégrés disposent d’un SID unique. IIS 7 remplace le compte IUSR_MachineName et le groupe IIS_WPG par le groupe IIS_IUSRS pour s’assurer que les noms réellement utilisés par le nouveau compte et le nouveau groupe ne sont jamais localisés. Par exemple, quelle que soit la langue du système d’exploitation Windows que vous installez, le nom du compte IIS est IUSR et le nom du groupe est IIS_IUSRS.

Pour plus d’informations, consultez Présentation des comptes d’utilisateurs et de groupes intégrés dans IIS 7.

Générateurs d’approbation de forêt entrante

Les membres du groupe Générateurs de relations de confiance de forêt entrantes peuvent créer des relations de confiance entrant, unidirectionnelles vers une forêt. Active Directory assure la sécurité entre plusieurs domaines ou forêts via des relations d’approbation de domaine et de forêt. Avant que l’authentification puisse se produire entre les approbations, Windows doit déterminer si le domaine demandé est par un utilisateur, un ordinateur ou un service disposant d’une relation d’approbation avec le domaine de connexion du compte demandeur.

Pour effectuer cette détermination, le système de sécurité de Windows calcule un chemin d’approbation entre le contrôleur de domaine du serveur qui reçoit la demande et un contrôleur de domaine dans le domaine du compte demandeur. Un canal sécurisé s’étend à d’autres domaines Active Directory via des relations d’approbation interdomaines. Ce canal sécurisé est utilisé pour obtenir et vérifier des informations de sécurité, entre autres les SID pour les utilisateurs et les groupes.

Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.

Pour plus d’informations, consultez Fonctionnement des approbation de domaine et de forêt.

Administrateurs clés

Les membres de ce groupe peuvent effectuer des actions administratives sur des objets clés au sein du domaine.

Opérateurs de configuration réseau

Les membres du groupe Opérateurs de configuration réseau disposent des privilèges d’administration suivants pour gérer la configuration des fonctionnalités réseau :

• Modifier les propriétés TCP/IP (Transmission Control Protocol) d’une connexion réseau local (LAN), qui inclut l’adresse IP, le masque de sous-réseau, la passerelle par défaut et les serveurs de noms
• Renommer les connexions LAN ou les connexions d’accès à distance disponibles pour tous les utilisateurs
• Activer ou désactiver une connexion LAN
• Modifier les propriétés de toutes les connexions d’accès à distance des utilisateurs
• Supprimer toutes les connexions d’accès à distance des utilisateurs
• Renommer toutes les connexions d’accès à distance des utilisateurs
• Émettre les commandes ipconfig, ipconfig /release, et ipconfig /renew
• Entrez la clé de déblocage de code confidentiel (PUK) pour les appareils haut débit mobiles qui prennent en charge une carte SIM

Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.

Utilisateurs du journal des performances

Les membres du groupe Utilisateurs du journal de performances peuvent gérer les compteurs de performance, les journaux et les alertes localement sur le serveur et à partir de clients distants sans être membres du groupe Administrateurs. Plus précisément, les membres de ce groupe de sécurité :

• Peuvent utiliser toutes les fonctionnalités accessibles au groupe Utilisateurs de l’Analyseur de performances.
• Ne peuvent pas utiliser le fournisseur d’événements Trace du noyau Windows dans les ensembles de collecteurs de données.

Pour que les membres du groupe Utilisateurs du journal de performances puissent lancer la journalisation des données ou modifier des ensembles de collecteurs de données, le groupe doit d’abord se voir attribuer le droit de l’utilisateur Ouvrir une session en tant que tâche. Pour attribuer ce droit de l’utilisateur, utilisez le composant logiciel enfichable Stratégie de sécurité locale dans MMC (Microsoft Management Console).

Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce compte ne peut pas être renommé, supprimé ou déplacé.

Utilisateurs de l’Analyseur de performances

Les membres de ce groupe peuvent superviser les compteurs de performance des contrôleurs de domaine dans le domaine, localement et à partir de clients distants, sans être membres des groupes Administrateurs ou Utilisateurs du journal de performances. L’Analyseur de performances Windows est un composant logiciel enfichable MMC qui fournit des outils pour l’analyse des performances du système. À partir d’une simple console, vous pouvez superviser les performances des applications et du matériel, personnaliser les données que vous souhaitez collecter dans des journaux, définir des seuils d’alertes et des actions automatiques, générer des rapports et afficher les données des performances passées de nombreuses manières.

Plus précisément, les membres de ce groupe de sécurité :

• Peuvent utiliser toutes les fonctionnalités accessibles au groupe Utilisateurs.
• Peuvent afficher les données de performances en temps réel dans l’Analyseur de performances.
• Peuvent modifier les propriétés d’affichage de l’Analyseur de performances lors de l’affichage des données.
• Ne peuvent pas créer ou modifier des ensembles de collecteurs de données.

Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.

Accès compatible pré-Windows 2000

Les membres du groupe Accès compatible pré-Windows 2000 disposent d’un accès en lecture pour tous les utilisateurs et groupes du domaine. Ce groupe est fourni pour la compatibilité descendante pour les ordinateurs qui exécutent Windows NT 4.0 et versions antérieures. Par défaut, l’identité spéciale Tout le monde est membre de ce groupe. Ajoutez des utilisateurs à ce groupe uniquement s’ils exécutent Windows NT 4.0 ou version antérieure.

Ce groupe ne peut pas être renommé ou supprimé.

Opérateurs d’impression

Les membres de ce groupe peuvent gérer, créer, partager et supprimer des imprimantes connectées aux contrôleurs de domaine dans le domaine. Ils peuvent également gérer des objets d’imprimante Active Directory dans le domaine. Les membres de ce groupe peuvent se connecter localement aux contrôleurs de domaine dans le domaine, et les arrêter.

Ce groupe ne possède aucun membre par défaut. Étant donné que les membres de ce groupe peuvent charger et décharger des pilotes de périphériques sur tous les contrôleurs de domaine dans le domaine, soyez attentif lorsque vous y ajoutez des utilisateurs. Ce groupe ne peut pas être renommé ou supprimé.

Pour plus d’informations, consultez Affecter des paramètres d’autorisation pour l’administrateur d’impression délégué et les imprimantes dans Windows Server 2012.

Utilisateurs protégés

Les membres du groupe Utilisateurs protégés bénéficient d’une protection supplémentaire contre la compromission des informations d’identification pendant les processus d’authentification.

Ce groupe de sécurité est conçu dans le cadre d'une stratégie pour protéger et gérer efficacement les informations d'identification dans l'entreprise. Les membres de ce groupe disposent automatiquement d’une protection non configurée appliquée à leurs comptes. L'appartenance au groupe Utilisateurs protégés est censée être restrictive et sécurisée de manière proactive par défaut. Le seul moyen de modifier la protection pour un compte consiste à supprimer le compte du groupe de sécurité.

Ce groupe global lié au domaine déclenche une protection non configurée sur les appareils et les ordinateurs hôtes, à partir de Windows Server 2012 R2 et Windows 8.1. Il déclenche également une protection non configurée sur les contrôleurs de domaine dans les domaines qui ont un contrôleur de domaine principal qui exécute Windows Server 2012 R2 ou version ultérieure. Cette protection réduit considérablement l’empreinte mémoire des informations d’identification lorsque les utilisateurs se connectent à des ordinateurs sur le réseau à partir d’un ordinateur non compromis.

Selon le niveau fonctionnel du domaine du compte, les membres du groupe Utilisateurs protégés sont davantage protégés en raison des changements de comportement dans les méthodes d’authentification prises en charge dans Windows :

• Les membres du groupe Utilisateurs protégés ne peuvent pas s’authentifier à l’aide des fournisseurs de support de sécurité suivants : New Technology LAN Manager (NTLM), Digest Authentication ou Credential Security Support Provider (CredSSP). Les mots de passe ne sont pas mis en cache sur un appareil exécutant Windows 10 ou Windows 8.1. L’appareil ne parvient pas à s’authentifier auprès d’un domaine lorsque le compte est membre du groupe Utilisateurs protégés.
• Le protocole Kerberos n’utilise pas les types de chiffrement DES (Data Encryption Standard) ou Rivest Cipher 4 (RC4) plus faibles dans le processus de pré-authentification. Le domaine doit être configuré pour prendre en charge au moins la suite de chiffrement AES (Advanced Encryption Standard).
• Le compte de l’utilisateur ne peut pas être délégué avec la délégation Kerberos contrainte ou non contrainte. Si l’utilisateur est membre du groupe Utilisateurs protégés, les anciennes connexions aux autres systèmes peuvent échouer.
• Vous pouvez modifier le paramètre de durée de vie des tickets d’octroi de tickets Kerberos par défaut de quatre heures à l’aide de stratégies d’authentification et de silos dans le Centre d’administration Active Directory. Dans le paramètre par défaut, l’utilisateur doit s’authentifier après quatre heures de passage.

Ce groupe a été introduit dans Windows Server 2012 R2. Pour plus d’informations sur ce groupe, consultez Groupe de sécurité Utilisateurs protégés.

Serveurs RAS et IAS

Lorsqu’ils sont correctement configurés, les ordinateurs membres du groupe Serveurs RAS et IAS peuvent utiliser des services d’accès à distance. Par défaut, ce groupe n’a aucun membre. Les ordinateurs qui exécutent le service de routage et d’accès à distance (RRAS) et les services d’accès à distance, tels que le service d’authentification Internet (IAS) et les serveurs de stratégie réseau, sont ajoutés automatiquement au groupe. Les membres de ce groupe ont accès à certaines propriétés d’objets utilisateur, telles que la lecture des restrictions de compte, la lecture des informations de connexion et la lecture des informations d’accès à distance.

Serveurs de points de terminaison RDS

Les serveurs membres du groupe Serveurs de points de terminaison RDS peuvent exécuter des machines virtuelles et héberger des sessions où s'exécutent les programmes utilisateur de la fonction RemoteApp et des bureaux virtuels personnels. Vous devez remplir ce groupe sur les serveurs exécutant le Service de courtier de connexion Bureau à distance (Service de courtier de connexion Bureau à distance). Les serveurs hôtes de session et les serveurs Hôte de virtualisation Bureau à distance (Hôte de virtualisation Bureau à distance) utilisés dans le déploiement doivent se trouver dans ce groupe. Ce groupe ne peut pas être renommé ou supprimé.

Pour plus d’informations sur les services Bureau à distance (RDS), consultez Vue d’ensemble des services Bureau à distance dans Windows Server.

Serveurs Gestion RDS

Vous pouvez utiliser des serveurs membres du groupe Serveurs d’administration RDS pour effectuer des actions administratives de routine sur des serveurs qui exécutent rdS. Vous devez remplir ce groupe sur tous les serveurs d’un déploiement RDS. Les serveurs qui exécutent le service de gestion centralisée des services Bureau à distance doivent être inclus dans ce groupe. Ce groupe ne peut pas être renommé ou supprimé.

Serveurs Accès Distant RDS

Les serveurs du groupe Serveurs d’accès à distance RDS fournissent aux utilisateurs l’accès aux programmes et aux bureaux virtuels personnels de la fonctionnalité RemoteApp. Dans les déploiements internet, ces serveurs sont généralement déployés dans un réseau de périphérie. Vous devez remplir ce groupe sur les serveurs qui exécutent le Courtier de connexions RD. Les serveurs de passerelle Bureau à distance (RD Gateway) et les serveurs d’accès web Bureau à distance (RD Web Access) utilisés dans le déploiement doivent se trouver dans ce groupe. Ce groupe ne peut pas être renommé ou supprimé.

Pour plus d’informations, consultez Vue d’ensemble des services Bureau à distance dans Windows Server.

Contrôleurs de domaine en lecture seule

Ce groupe est composé des contrôleurs de domaine en lecture seule (RODC) du domaine. Un rodc permet aux organisations de déployer facilement un contrôleur de domaine dans les scénarios dans lesquels la sécurité physique ne peut pas être garantie. Un exemple de scénario est un emplacement de succursale ou un stockage local de tous les mots de passe de domaine considérés comme une menace principale, comme dans un rôle extranet ou accessible par l’application.

Étant donné que vous pouvez déléguer l’administration d’un rodc à un utilisateur de domaine ou à un groupe de sécurité, un rodc convient parfaitement à un site qui ne doit pas avoir d’utilisateur membre du groupe Administrateurs du domaine. Un RODC dispose des fonctionnalités suivantes :

• Une base de données AD DS en lecture seule
• Réplication unidirectionnelle
• Mise en cache des informations d’identification
• Séparation des rôles d’administrateur
• DNS en lecture seule

Pour plus d’informations, consultez Présentation de la planification et du déploiement pour les contrôleurs de domaine en lecture seule.

Utilisateurs du Bureau à distance

Vous pouvez utiliser le groupe Utilisateurs Bureau à distance sur un serveur hôte de session Bureau à distance (hôte de session Bureau à distance) pour accorder aux utilisateurs et aux groupes des autorisations pour se connecter à distance à un serveur hôte de session Bureau à distance. Ce groupe ne peut pas être renommé ou supprimé. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO).

Utilisateurs de gestion à distance

Les membres du groupe Utilisateurs de gestion à distance peuvent accéder aux ressources WMI (Windows Management Instrumentation) via des protocoles de gestion tels que les services web pour la gestion (WS-Management) via le service de gestion à distance Windows. L’accès aux ressources WMI s’applique uniquement aux espaces de noms WMI qui accordent l’accès à l’utilisateur.

Utilisez le groupe Utilisateurs de gestion à distance pour permettre aux utilisateurs de gérer les serveurs par le biais de la console Gestionnaire de serveur. Utilisez le groupe WinRMRemoteWMIUsers__ pour permettre aux utilisateurs d’exécuter à distance des commandes Windows PowerShell.

Ce groupe ne peut pas être renommé ou supprimé.

Pour plus d’informations, consultez À propos de WMI et nouveautés de MI ?.

Replicator

Les ordinateurs membres du groupe Duplicateur prennent en charge la réplication de fichiers dans un domaine. Windows Server utilise le service de réplication de fichiers (FRS) pour répliquer les stratégies système et les scripts de connexion stockés dans le dossier volume système (dossier sysvol). Chaque contrôleur de domaine conserve une copie du dossier sysvol auquel les clients réseau peuvent accéder. FRS peut également répliquer des données pour le système de fichiers distribué (DFS) et synchroniser le contenu de chaque membre dans un jeu de réplicas tel que défini par le DFS. Le service FRS peut copier et tenir à jour simultanément des fichiers et dossiers partagés sur plusieurs serveurs. Lorsque des modifications se produisent, le contenu est synchronisé immédiatement dans les sites et selon une planification entre les sites.

Pour plus d’informations, consultez les ressources suivantes :

• Le service de réplication de fichiers (FRS) est déprécié dans Windows Server 2008 R2 (Windows)
• Vue d’ensemble des espaces de noms DFS et de la réplication DFS

Ce groupe ne peut pas être renommé ou supprimé.

Administrateurs de schéma

Les membres du groupe Administrateurs de schéma peuvent modifier le schéma Active Directory. Ce groupe existe uniquement dans le domaine racine d’une forêt Active Directory de domaines. Ce groupe est un groupe Universel si le domaine est en mode natif. Ce groupe est un groupe Global si le domaine est en mode mixte.

Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de la forêt. Ce groupe dispose d’un accès administratif complet au schéma.

N’importe quel groupe d’administrateurs de service dans le domaine racine peut modifier l’appartenance à ce groupe. Ce groupe est considéré comme un compte d’administrateur de service, car ses membres peuvent modifier le schéma, qui régit la structure et le contenu de l’ensemble du répertoire.

Pour plus d’informations, consultez Qu’est-ce qu’un schéma Active Directory ?.

Opérateurs de serveur

Les membres du groupe Opérateurs de serveur peuvent administrer des contrôleurs de domaine. Ce groupe existe uniquement sur les contrôleurs de domaine. Par défaut, ce groupe n’a aucun membre et ne peut pas être renommé, supprimé ou retiré. Les membres du groupe Opérateurs de serveur peuvent effectuer les actions suivantes :

• Se connecter à un serveur de manière interactive
• Créer et supprimer des ressources partagées réseau
• Arrêt et démarrage des services
• Sauvegarder et restaurer des fichiers
• Mettre en forme le disque dur de l’appareil
• Arrêter l’appareil

Par défaut, ce groupe intégré n’a aucun membre. Ce groupe a accès aux options de configuration du serveur sur les contrôleurs de domaine. Son appartenance est contrôlée par les groupes d’administrateurs de service Administrators et Domain Admins dans le domaine, et par le groupe Administrateurs d’entreprise dans le domaine racine de la forêt. Les membres de ce groupe ne peuvent pas modifier les appartenances aux groupes administratifs. Ce groupe est considéré comme un compte d’administrateur de service, car ses membres ont un accès physique aux contrôleurs de domaine. Les membres de ce groupe peuvent effectuer des tâches de maintenance telles que la sauvegarde et la restauration, et ils peuvent modifier les fichiers binaires installés sur les contrôleurs de domaine. Pour connaître les droits d’utilisateur par défaut du groupe, consultez le tableau suivant.

Administrateurs de réplica de stockage

Les membres du groupe Storage Replica Administrators ont un accès complet et sans restriction à toutes les fonctionnalités de l’outil Storage Replica.

Comptes gérés par le système

L’appartenance au groupe Comptes gérés par le système est gérée par le système. Ce groupe inclut le compte managé système par défaut (DSMA), qui facilite les fonctions système.

Serveurs de licences des services Terminal Server

Les membres du groupe Serveurs de licences Terminal Server peuvent mettre à jour des comptes d’utilisateur dans Active Directory avec des informations sur l’émission de licence. Le groupe est utilisé pour suivre et signaler l’utilisation de la licence d’accès client par utilisateur (TS par utilisateur CAL). Une licence d’accès client des services Terminal Server par utilisateur donne à un utilisateur le droit d’accéder à une instance de Terminal Server à partir d’un nombre illimité d’ordinateurs ou d’appareils clients. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.

Pour plus d’informations sur ce groupe de sécurité, consultez Configuration du groupe de sécurité Serveurs de licences des services Terminal Server.

Users

Les membres du groupe Utilisateurs ne peuvent pas effectuer de modifications accidentelles ou intentionnelles à l’échelle du système. Les membres de ce groupe peuvent exécuter la plupart des applications. Après l’installation initiale du système d’exploitation, le seul membre est le groupe Utilisateurs authentifiés. Lorsqu’un ordinateur rejoint un domaine, le groupe Utilisateurs du domaine est ajouté au groupe Utilisateurs sur l’ordinateur.

Les utilisateurs peuvent effectuer des tâches telles que l’exécution d’une application, l’utilisation d’imprimantes locales et réseau, l’arrêt de l’ordinateur et le verrouillage de l’ordinateur. Les utilisateurs peuvent installer des applications qu’eux seuls peuvent utiliser si le programme d’installation de l’application prend en charge l’installation par utilisateur. Ce groupe ne peut pas être renommé ou supprimé.

Groupe d’accès d’autorisation Windows

Les membres de ce groupe ont accès à l’attribut tokenGroupsGlobalAndUniversal sur les objets utilisateur. Cet accès est utile, car certaines fonctionnalités d’application lisent l’attribut token-groups-global-and-universal (TGGAU) sur les objets de compte d’utilisateur ou sur les objets de compte d’ordinateur dans AD DS. Certaines fonctions Win32 facilitent la lecture de l’attribut TGGAU . Toutefois, les applications qui lisent cet attribut ou qui appellent une API qui lit cet attribut ne réussissent pas si le contexte de sécurité appelant n’a pas accès à l’attribut. Ce groupe facilite l’octroi d’un accès en lecture à l’attribut.

Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.

WinRMRemoteWMIUsers__

À compter de Windows Server 2012 et Windows 8, l’interface utilisateur Paramètres de sécurité avancés contient un onglet Partager . Cet onglet affiche les propriétés de sécurité d’un partage de fichiers distant. Pour afficher ces informations, vous devez disposer des autorisations et des appartenances suivantes :

• Vous devez être membre du groupe WinRMRemoteWMIUsers__ ou du groupe BUILTIN\Administrators
• Vous devez disposer des autorisations Lecture sur le partage de fichiers

Dans Windows Server 2012, la fonctionnalité Assistance en cas d’accès refusé ajoute le groupe Utilisateurs authentifiés au groupe WinRMRemoteWMIUsers__ local. Lorsque la fonctionnalité Assistance en cas d’accès refusé est activée, tous les utilisateurs authentifiés disposant d’autorisations Lecture sur le partage de fichiers peuvent afficher les autorisations de partage de fichiers.

Contenu connexe

• Principaux de sécurité
• Groupes d’identités spéciales
• Présentation du contrôle d’accès