Active Directory-beveiligingsgroepen

In dit artikel worden standaard Active Directory-beveiligingsgroepen, groepsbereik en groepsfuncties besproken.

Wat is een beveiligingsgroep in Active Directory?

Active Directory heeft twee vormen van algemene beveiligingsprinciplen: gebruikersaccounts en computeraccounts. Deze accounts vertegenwoordigen een fysieke entiteit die een persoon of een computer is. Een gebruikersaccount kan ook worden gebruikt als een toegewezen serviceaccount voor sommige toepassingen.

Beveiligingsgroepen zijn een manier om gebruikersaccounts, computeraccounts en andere groepen te verzamelen in beheerbare eenheden.

In het Windows Server-besturingssysteem (OS) zijn verschillende ingebouwde accounts en beveiligingsgroepen vooraf geconfigureerd met de juiste rechten en machtigingen voor het uitvoeren van specifieke taken. In Active Directory worden beheerdersverantwoordelijkheden onderverdeeld in twee typen beheerders:

• Servicebeheerders: verantwoordelijk voor het onderhouden en leveren van Active Directory Domain Services (AD DS), waaronder het beheren van domeincontrollers en het configureren van AD DS
• Gegevensbeheerders: verantwoordelijk voor het onderhouden van de gegevens die zijn opgeslagen in AD DS en op domeinlidservers en -werkstations

Hoe Active Directory-beveiligingsgroepen werken

U kunt groepen gebruiken om gebruikersaccounts, computeraccounts en andere groepen te verzamelen in beheerbare eenheden. Als u met groepen werkt in plaats van met afzonderlijke gebruikers, kunt u netwerkonderhoud en -beheer vereenvoudigen.

Active Directory heeft twee soorten groepen:

• Beveiligingsgroepen: wordt gebruikt om machtigingen toe te wijzen aan gedeelde resources.
• Distributiegroepen: wordt gebruikt om e-maildistributielijsten te maken.

Beveiligingsgroepen

Beveiligingsgroepen kunnen een efficiënte manier bieden om toegang tot resources in uw netwerk toe te wijzen. Met behulp van beveiligingsgroepen kunt u het volgende doen:

• Gebruikersrechten toewijzen aan beveiligingsgroepen in Active Directory.

  U kunt gebruikersrechten toewijzen aan een beveiligingsgroep om te bepalen welke leden van die groep binnen het bereik van een domein of forest kunnen doen. Gebruikersrechten worden automatisch toegewezen aan bepaalde beveiligingsgroepen wanneer Active Directory is geïnstalleerd om beheerders te helpen bij het definiëren van de beheerdersrol van een persoon in het domein.

  Een gebruiker die u toevoegt aan de groep Back-upoperators in Active Directory, kan bijvoorbeeld een back-up maken van bestanden en mappen die zich op elke domeincontroller in het domein bevinden. De gebruiker kan deze acties voltooien omdat de gebruikersrechten Back-upbestanden en -mappen en Herstellen van bestanden en mappen standaard automatisch worden toegewezen aan de groep Back-upoperators. Leden van deze groep nemen daarom de gebruikersrechten over die aan die groep zijn toegewezen.

  U kunt Groepsbeleid gebruiken om gebruikersrechten toe te wijzen aan beveiligingsgroepen om specifieke taken te delegeren. Zie Toewijzing van gebruikersrechten voor meer informatie over het gebruik van Groepsbeleid.

• Wijs machtigingen toe aan beveiligingsgroepen voor resources.

  Machtigingen verschillen van gebruikersrechten. Machtigingen worden toegewezen aan een beveiligingsgroep voor een gedeelde resource. Machtigingen bepalen wie toegang heeft tot de resource en het toegangsniveau, zoals Volledig beheer of Lezen. Sommige machtigingen die zijn ingesteld op domeinobjecten, worden automatisch toegewezen om verschillende toegangsniveaus toe te staan tot standaardbeveiligingsgroepen, zoals de groep Accountoperators of de groep Domeinadministrators.

  Beveiligingsgroepen worden vermeld in discretionaire toegangsbeheerlijsten (DACL's) die machtigingen definiëren voor resources en objecten. Wanneer beheerders machtigingen toewijzen voor resources zoals bestandsshares of printers, moeten ze deze machtigingen toewijzen aan een beveiligingsgroep in plaats van aan afzonderlijke gebruikers. De machtigingen worden eenmaal aan de groep toegewezen in plaats van meerdere keren aan elke afzonderlijke gebruiker. Elk account dat aan een groep wordt toegevoegd, ontvangt de rechten die zijn toegewezen aan die groep in Active Directory. De gebruiker ontvangt machtigingen die zijn gedefinieerd voor die groep.

U kunt een beveiligingsgroep gebruiken als een e-mailentiteit. Als u een e-mailbericht naar een beveiligingsgroep verzendt, wordt het bericht verzonden naar alle leden van de groep.

Distributiegroepen

U kunt distributiegroepen alleen gebruiken om e-mail te verzenden naar verzamelingen gebruikers met behulp van een e-mailtoepassing zoals Exchange Server. Distributiegroepen zijn niet beveiligd, dus u kunt ze niet opnemen in DACL's.

Groepsbereik

Elke groep heeft een bereik waarmee wordt aangegeven in welke mate de groep wordt toegepast in de domeinstructuur of het forest. Het bereik van een groep definieert de gebieden van het netwerk waar machtigingen kunnen worden verleend voor de groep. Active Directory definieert de volgende drie groepsbereiken:

• Universal
• Global
• Domein lokaal

In de volgende tabel worden de drie groepsbereiken beschreven en hoe ze werken als beveiligingsgroepen:

Speciale identiteitsgroepen

Een speciale identiteitsgroep is waar bepaalde speciale identiteiten worden gegroepeerd. Speciale identiteitsgroepen hebben geen specifieke lidmaatschappen die u kunt wijzigen, maar ze kunnen verschillende gebruikers op verschillende momenten vertegenwoordigen, afhankelijk van de omstandigheden. Deze groepen omvatten de eigenaar van de maker, batch en geverifieerde gebruiker.

Zie Speciale identiteitsgroepen voor meer informatie.

Standaardbeveiligingsgroepen

Standaardgroepen zoals de groep Domeinadministrators zijn beveiligingsgroepen die automatisch worden gemaakt wanneer u een Active Directory-domein maakt. Deze vooraf gedefinieerde groepen kunnen u helpen de toegang tot gedeelde resources te beheren en specifieke beheerdersrollen voor het hele domein te delegeren.

Aan veel standaardgroepen wordt automatisch een set gebruikersrechten toegewezen. Met deze rechten kunnen leden van de groep specifieke acties uitvoeren in een domein, zoals aanmelden bij een lokaal systeem of back-ups maken van bestanden en mappen. Een lid van de groep Back-upoperators kan bijvoorbeeld back-upbewerkingen uitvoeren voor alle domeincontrollers in het domein.

Wanneer u een gebruiker aan een groep toevoegt, ontvangt de gebruiker alle gebruikersrechten die aan de groep zijn toegewezen, inclusief alle machtigingen die aan de groep zijn toegewezen voor gedeelde resources.

Standaardgroepen bevinden zich in de ingebouwde container of de container Gebruikers in het hulpprogramma Active Directory: gebruikers en computers. De ingebouwde container bevat groepen met domein-lokaal bereik die zijn gedefinieerd. De container Gebruikers bevat groepen die zijn gedefinieerd met globaal bereik en groepen die zijn gedefinieerd met het lokale domeinbereik. U kunt groepen die zich in deze containers bevinden, verplaatsen naar andere groepen of organisatie-eenheden binnen het domein. U kunt ze echter niet verplaatsen naar andere domeinen.

Sommige van de beheergroepen die in dit artikel worden vermeld en alle leden van deze groepen worden beveiligd door een achtergrondproces dat periodiek controleert op en een specifieke beveiligingsdescriptor toepast. Deze descriptor is een gegevensstructuur die beveiligingsinformatie bevat die is gekoppeld aan een beveiligd object. Dit proces zorgt ervoor dat elke geslaagde ongeautoriseerde poging om de beveiligingsdescriptor op een van de beheeraccounts of groepen te wijzigen wordt overschreven met de beschermde instellingen.

De beveiligingsdescriptor is aanwezig in het object AdminSDHolder. Als u de machtigingen wilt wijzigen voor een van de servicebeheerdersgroepen of voor een van de lidaccounts, moet u de beveiligingsdescriptor wijzigen voor het object AdminSDHolder, zodat het consistent wordt toegepast. Wees voorzichtig wanneer u deze wijzigingen aanbrengt, omdat u ook de standaardinstellingen wijzigt die worden toegepast op al uw beveiligde beheerdersaccounts.

Elke standaardbeveiligingsgroep heeft een unieke id die uit meerdere onderdelen bestaat. Een van deze onderdelen is een relatieve id (RID), die uniek is binnen het domein van de groep.

Standaard Beveiligingsgroepen van Active Directory

De volgende koppelingen leiden naar beschrijvingen van de standaardgroepen die zich in de ingebouwde container of de container Gebruikers in Active Directory bevinden.

• Hulpoperators voor toegangsbeheer
• Accountbeheerders
• Administrators
• Toegestane RODC-wachtwoordreplicatie
• Backupoperators
• DCOM-toegang tot certificaatservice
• Certificaatverstrekkers
• Kloonbare domeincontrollers
• Cryptografische operators
• Rodc-wachtwoordreplicatie geweigerd
• Apparaateigenaren
• DHCP-beheerders
• DHCP-gebruikers
• Gedistribueerde COM-gebruikers
• DnsUpdateProxy
• DnsAdmins
• Domeinadministratoren
• Domeincomputers
• Domeincontrollers
• Domeingasten
• Domeingebruikers
• Ondernemingsadministreert
• Ondernemingssleutelbeheerders
• Alleen-lezen domeincontrollers voor ondernemingen
• Lezers van gebeurtenislogboeken
• Groepsbeleidsmaker-eigenaren
• Guests
• Hyper-V Beheerders
• IIS_IUSRS
• Binnenkomende bosvertrouwensopbouwers
• Belangrijke beheerders
• Netwerkconfiguratieoperators
• Gebruikers van prestatielogboeken
• Gebruikers van prestatiemeter
• Pre-Windows 2000 compatibiliteitstoegang
• Afdrukoperators
• Beveiligde gebruikers
• RAS- en IAS-servers
• RDS-eindpuntservers
• RDS-beheerservers
• RDS-servers voor externe toegang
• Lees-alleen domeincontrollers
• Externe bureaubladgebruikers
• Gebruikers van extern beheer
• Replicator
• Schemabeheerders
• Serveroperators
• Beheerders van opslagreplica's
• Door het systeem beheerde accounts
• Licentieservers voor Terminal Server
• Users
• Toegang tot Windows-autorisatie
• WinRMRemoteWMIUsers__

Hulpoperators voor toegangsbeheer

Leden van deze groep kunnen op afstand query's uitvoeren op autorisatiekenmerken en machtigingen voor resources op de computer. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Accountbeheerders

De groep Accountoperators verleent beperkte bevoegdheden voor het maken van accounts aan een gebruiker. Leden van deze groep kunnen de meeste typen accounts maken en wijzigen, waaronder accounts voor gebruikers, lokale groepen en globale groepen. Groepsleden kunnen zich lokaal aanmelden bij domeincontrollers.

Leden van de groep Accountoperators kunnen gebruikersrechten niet wijzigen. Leden van deze groep kunnen ook de volgende accounts en groepen niet beheren:

• Beheerdersgebruikersaccount
• Gebruikersaccounts van beheerders
• Administrators
• Serveroperators
• Accountbeheerders
• Backupoperators
• Afdrukoperators

De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Administrators

Leden van de groep Administrators hebben volledige en onbeperkte toegang tot de computer. Als de computer wordt gepromoveerd naar een domeincontroller, hebben leden van de groep Administrators onbeperkte toegang tot het domein.

Toegestane RODC-wachtwoordreplicatie

Het doel van deze beveiligingsgroep is het beheren van een alleen-lezen domeincontroller (RODC) wachtwoordreplicatiebeleid. Deze groep heeft standaard geen leden. Hierdoor worden gebruikersreferenties niet opgeslagen in de cache van nieuwe RODC's. De groep Ongeoorloofde RODC-wachtwoordreplicatie bevat verschillende hoogbevoegde accounts en beveiligingsgroepen. De groep voor geweigerde RODC-wachtwoordreplicatie vervangt de groep Toegestane RODC-wachtwoordreplicatie. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Backupoperators

Leden van de groep Back-upoperators kunnen een back-up maken en alle bestanden op een computer herstellen, ongeacht de machtigingen die deze bestanden beveiligen. Back-upoperators kunnen zich ook aanmelden en de computer afsluiten. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst. Deze ingebouwde groep heeft standaard geen leden en kan back-up- en herstelbewerkingen uitvoeren op domeincontrollers. Leden van de volgende groepen kunnen het groepslidmaatschap van back-upoperators wijzigen: standaardservicebeheerders, domeinadministrators in het domein en Ondernemingsadministrators. Leden van de groep Back-upoperators kunnen het lidmaatschap van beheergroepen niet wijzigen. Hoewel leden van deze groep de serverinstellingen niet kunnen wijzigen of de configuratie van de map kunnen wijzigen, hebben ze wel de machtigingen die nodig zijn om bestanden (inclusief besturingssysteembestanden) op domeincontrollers te vervangen. Omdat leden van deze groep bestanden op domeincontrollers kunnen vervangen, worden ze beschouwd als servicebeheerders.

DCOM-toegang tot certificaatservice

Leden van deze groep kunnen verbinding maken met certificeringsinstanties in de onderneming. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Certificaatuitgevers

Leden van de groep Certificaatuitgevers zijn gemachtigd om certificaten voor gebruikersobjecten in Active Directory te publiceren. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Kloonbare domeincontrollers

Leden van de groep Kloonbare domeincontrollers die domeincontrollers zijn, kunnen worden gekloond. In Windows Server 2012 R2 en Windows Server 2012 kunt u domeincontrollers implementeren door een bestaande virtuele domeincontroller te kopiëren. In een virtuele omgeving kunt u niet herhaaldelijk een serverimage uitrollen die zijn voorbereid met behulp van het Sysprep.exe hulpprogramma. Het promoveren van de server naar een domeincontroller en vervolgens meer configuratievereisten voltooien voor het implementeren van elke domeincontroller (inclusief het toevoegen van de virtuele domeincontroller aan deze beveiligingsgroep), is ook niet toegestaan. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Zie Active Directory Domain Services (AD DS) veilig virtualiseren voor meer informatie.

Cryptografische operators

Leden van deze groep zijn gemachtigd om cryptografische bewerkingen uit te voeren. Deze beveiligingsgroep configureert Windows Firewall voor IPsec in de modus Algemene criteria. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

RODC-wachtwoordreplicatie geweigerd

Wachtwoorden van leden van de groep Geweigerde RODC-wachtwoordreplicatie kunnen niet worden gerepliceerd naar een RODC.

Het doel van deze beveiligingsgroep is het beheren van een RODC-wachtwoordreplicatiebeleid. Deze groep bevat verschillende accounts met hoge bevoegdheden en beveiligingsgroepen. De groep voor geweigerde RODC-wachtwoordreplicatie vervangt de groep Toegestane RODC-wachtwoordreplicatie .

Apparaateigenaren

Wanneer de groep Apparaateigenaren geen leden heeft, wordt u aangeraden de standaardconfiguratie voor deze beveiligingsgroep niet te wijzigen. Het wijzigen van de standaardconfiguratie kan toekomstige scenario's die afhankelijk zijn van deze groep, belemmeren. De groep Apparaateigenaren wordt momenteel niet gebruikt in Windows.

DHCP-beheerders

Leden van de groep DHCP-beheerders kunnen verschillende gebieden van het bereik van de server maken, verwijderen en beheren. Groepsrechten omvatten de mogelijkheid om een back-up te maken van de DHCP-database (Dynamic Host Configuration Protocol). Hoewel deze groep beheerdersrechten heeft, maakt deze groep geen deel uit van de groep Administrators, omdat deze rol is beperkt tot DHCP-services.

DHCP-gebruikers

Leden van de groep DHCP-gebruikers kunnen zien welke scopes actief of inactief zijn, inclusief welke IP-adressen worden toegewezen. Groepsleden kunnen ook verbindingsproblemen weergeven als de DHCP-server niet juist is geconfigureerd. Deze groep is beperkt tot alleen-lezentoegang tot de DHCP-server.

Gedistribueerde COM-gebruikers

Leden van de groep Gedistribueerde COM-gebruikers kunnen DCOM-objecten (Distributed Component Object Model) op de computer starten, activeren en gebruiken. Microsoft Component Object Model (COM) is een platformonafhankelijk, gedistribueerd, objectgeoriënteerd systeem voor het maken van binaire softwareonderdelen die kunnen communiceren. Wanneer u DCOM-objecten gebruikt, kunt u uw toepassingen distribueren over locaties die voor u en voor de toepassingen het meest zinvol zijn. Deze groep wordt weergegeven als een SID totdat het de primaire domeincontroller is gemaakt en de operations master-rol bevat, die ook wel de rol Flexible Single Master Operations (FSMO) wordt genoemd. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

DnsUpdateProxy

Leden van de DnsUpdateProxy-groep zijn DNS-clients (Domain Name System). Ze mogen dynamische updates uitvoeren namens andere clients, zoals DHCP-servers. Een DNS-server kan verouderde bronrecords ontwikkelen wanneer een DHCP-server is geconfigureerd voor het dynamisch registreren van hostbronrecords (A) en PTR-bronrecords namens DHCP-clients met behulp van dynamische update. Als u clients aan deze beveiligingsgroep toevoegt, wordt dit scenario beperkt.

Als u wilt beveiligen tegen niet-beveiligde records of om leden van de DnsUpdateProxy-groep toe te staan records te registreren in zones waarvoor alleen beveiligde dynamische updates zijn toegestaan, moet u een toegewezen gebruikersaccount maken. U moet ook DHCP-servers configureren om dynamische DNS-updates uit te voeren met behulp van de gebruikersnaam, het wachtwoord en het domein van dit account. Meerdere DHCP-servers kunnen de referenties van één toegewezen gebruikersaccount gebruiken. Deze groep bestaat alleen als de DNS-serverfunctie is of eenmaal is geïnstalleerd op een domeincontroller in het domein.

Zie het eigendom van DNS-records en de DnsUpdateProxy-groep voor meer informatie.

DnsAdmins

Leden van de DnsAdmins-groep hebben toegang tot dns-netwerkgegevens. Leden van deze groep krijgen standaard de volgende machtigingen toegewezen: Lezen, Schrijven, Alle onderliggende objecten maken, Onderliggende objecten verwijderen en Speciale machtigingen. Deze groep bestaat alleen als de DNS-serverfunctie is of eenmaal is geïnstalleerd op een domeincontroller in het domein.

Zie DNSSEC in Windows Server 2012 voor meer informatie over beveiliging en DNS.

Domeinbeheerders

Leden van de beveiligingsgroep Domeinadministrators zijn gemachtigd om het domein te beheren. De groep Domeinadministrators is standaard lid van de groep Administrators op alle computers die lid worden van een domein, inclusief de domeincontrollers. De groep Domeinadministrators is de standaardeigenaar van een object dat is gemaakt in Active Directory voor het domein door een lid van de groep. Als leden van de groep andere objecten maken, zoals bestanden, is de standaardeigenaar de groep Administrators.

De groep Domeinadministrators beheert de toegang tot alle domeincontrollers in een domein en kan het lidmaatschap van alle beheerdersaccounts in het domein wijzigen. Leden van de servicebeheerdersgroepen in het domein (beheerders en domeinadministrators) en leden van de groep Ondernemingsadministrators kunnen het lidmaatschap van domeinadministrators wijzigen. Deze groep wordt beschouwd als een servicebeheerdersaccount omdat de leden volledige toegang hebben tot de domeincontrollers in een domein.

Domeincomputers

Deze groep kan alle computers en servers bevatten die lid worden van het domein, met uitzondering van domeincontrollers. Standaard wordt elk computeraccount dat wordt gemaakt automatisch lid van deze groep.

Domeincontrollers

De groep Domeincontrollers kan alle domeincontrollers in het domein bevatten. Nieuwe domeincontrollers worden automatisch toegevoegd aan deze groep.

Gastgebruikers

De groep Domeingasten bevat het ingebouwde gastaccount van het domein. Wanneer leden van deze groep zich aanmelden als lokale gasten op een computer die lid is van een domein, wordt er een domeinprofiel gemaakt op de lokale computer.

Domeingebruikers

De groep Domeingebruikers bevat alle gebruikersaccounts in een domein. Wanneer u een gebruikersaccount in een domein maakt, wordt dit standaard toegevoegd aan deze groep.

U kunt deze groep gebruiken om alle gebruikers in het domein weer te geven. Als u bijvoorbeeld wilt dat alle domeingebruikers toegang hebben tot een printer, kunt u machtigingen voor de printer toewijzen aan deze groep. U kunt de groep Domeingebruikers ook toevoegen aan een lokale groep op de afdrukserver met machtigingen voor de printer.

Enterprise-beheerders

De groep Ondernemingsadministrators bestaat alleen in het hoofddomein van een Active Directory-forest met domeinen. De groep is een universele groep als het domein zich in de systeemeigen modus bevindt. De groep is een globale groep als het domein zich in gemengde modus bevindt. Leden van deze groep zijn gemachtigd om forestbrede wijzigingen aan te brengen in Active Directory, zoals het toevoegen van onderliggende domeinen.

Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein. Deze groep wordt automatisch toegevoegd aan de groep Administrators in elk domein in het forest en biedt volledige toegang tot het configureren van alle domeincontrollers. Leden in deze groep kunnen het lidmaatschap van alle beheergroepen wijzigen. Leden van de standaardservicebeheerdersgroepen in het hoofddomein kunnen het lidmaatschap van ondernemingsadministratoren wijzigen. Deze groep wordt beschouwd als een servicebeheerdersaccount.

Ondernemingssleutelbeheerders

Leden van deze groep kunnen beheeracties uitvoeren op belangrijke objecten in het forest.

Alleen-lezen domeincontrollers voor bedrijfsomgevingen

Leden van deze groep zijn RODC's in de onderneming. Behalve voor accountwachtwoorden bevat een RODC alle Active Directory-objecten en -kenmerken die een beschrijfbare domeincontroller bevat. Wijzigingen kunnen echter niet worden aangebracht in de database die is opgeslagen op de RODC. Wijzigingen moeten worden aangebracht op een beschrijfbare domeincontroller en vervolgens worden gerepliceerd naar de RODC.

RODC's hebben betrekking op enkele van de problemen die vaak worden gevonden in filialen. Deze locaties hebben mogelijk geen domeincontroller of ze hebben mogelijk een beschrijfbare domeincontroller, maar niet de fysieke beveiliging, netwerkbandbreedte of lokale expertise om deze te ondersteunen.

Zie Wat is een RODC? voor meer informatie.

Lezers van gebeurtenislogboeken

Leden van deze groep kunnen gebeurtenislogboeken van lokale computers lezen. De groep wordt gemaakt wanneer de server wordt gepromoveerd naar een domeincontroller. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Groepsbeleidaanmaak Eigenaren

Deze groep is gemachtigd om groepsbeleidsobjecten in het domein te maken, bewerken en verwijderen. Standaard is het enige lid van de groep Administrator.

Zie Het overzicht van groepsbeleid voor informatie over andere functies die u met deze beveiligingsgroep kunt gebruiken.

Guests

Leden van de groep Gasten en Gebruikers hebben standaard vergelijkbare toegang. Het verschil is dat het gastaccount verdere beperkingen heeft. Standaard is het enige lid van de groep Gasten het gastaccount. De groep Gasten maakt het mogelijk voor incidentele of eenmalige gebruikers zich aan te melden met beperkte bevoegdheden voor het ingebouwde gastaccount van een computer.

Wanneer een lid van de groep Gasten zich afmeldt, wordt het hele profiel verwijderd. Het verwijderen van het profiel bevat alles wat in de %userprofile% map is opgeslagen, inclusief de registergegevens van de gebruiker, aangepaste bureaubladpictogrammen en andere gebruikersspecifieke instellingen. Dit betekent dat een gast een tijdelijk profiel moet gebruiken om zich aan te melden bij het systeem. Deze beveiligingsgroep communiceert met de volgende groepsbeleidsinstelling: meld gebruikers niet aan met tijdelijke profielen. Als u deze instelling wilt openen, opent u de editor groepsbeleidsbeheer en gaat u vervolgens naar computerconfiguratiebeheersjablonen>>systeemgebruikersprofielen>.

De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Hyper-V-beheerders

Leden van de groep Hyper-V Administrators hebben volledige en onbeperkte toegang tot alle functies in Hyper-V. Als u leden aan deze groep toevoegt, kunt u het aantal leden beperken dat nodig is in de groep Administrators en wordt de toegang verder gescheiden. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

IIS_IUSRS

IIS_IUSRS is een ingebouwde groep die wordt gebruikt door Internet Information Services (IIS), te beginnen met IIS 7. Het besturingssysteem zorgt ervoor dat elke ingebouwde account en groep een unieke SID hebben. IIS 7 vervangt het IUSR_MachineName-account en de IIS_WPG-groep door de IIS_IUSRS-groep om te garanderen dat de daadwerkelijke namen die het nieuwe account en de groep gebruiken nooit worden gelokaliseerd. De naam van het IIS-account is bijvoorbeeld IUSR, ongeacht de taal van het Windows-besturingssysteem dat u installeert, en de groepsnaam is IIS_IUSRS.

Zie Ingebouwde gebruikers- en groepsaccounts in IIS 7 voor meer informatie.

Binnenkomende Forest Trust Builders

Leden van de groep Inkomende Forest Trust Builders kunnen binnenkomende vertrouwensrelaties in één richting maken in een forest. Active Directory biedt beveiliging voor meerdere domeinen of forests via domein- en forestvertrouwensrelaties. Voordat verificatie kan plaatsvinden tussen vertrouwensrelaties, moet Windows bepalen of het aangevraagde domein is door een gebruiker, computer of service die een vertrouwensrelatie heeft met het aanmeldingsdomein van het aanvragende account.

Om dit te bepalen, berekent het Windows-beveiligingssysteem een vertrouwenspad tussen de domeincontroller voor de server die de aanvraag ontvangt en een domeincontroller in het domein van het aanvragende account. Een beveiligd kanaal wordt uitgebreid naar andere Active Directory-domeinen via vertrouwensrelaties tussen domeinen. Dit beveiligde kanaal wordt gebruikt voor het verkrijgen en verifiëren van beveiligingsgegevens, waaronder SID's voor gebruikers en groepen.

Deze groep wordt weergegeven als een SID totdat de domeincontroller de primaire domeincontroller wordt en de rol van operations master (FSMO) vervult. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Zie Hoe domein- en forestvertrouwensrelaties werken voor meer informatie.

Belangrijke beheerders

Leden van deze groep kunnen beheeracties uitvoeren op belangrijke objecten binnen het domein.

Netwerkconfiguratieoperators

Leden van de groep Netwerkconfiguratieoperators hebben de volgende beheerdersbevoegdheden voor het beheren van de configuratie van netwerkfuncties:

• Wijzig de eigenschappen van Transmission Control Protocol/Internet Protocol (TCP/IP) voor een LAN-verbinding (Local Area Network), waaronder het IP-adres, het subnetmasker, de standaardgateway en de naamservers
• De naam van de LAN-verbindingen of externe toegangsverbindingen wijzigen die beschikbaar zijn voor alle gebruikers
• Een LAN-verbinding in- of uitschakelen
• De eigenschappen van alle externe toegangsverbindingen van gebruikers wijzigen
• Alle externe toegangsverbindingen van gebruikers verwijderen
• De naam van alle externe toegangsverbindingen van gebruikers wijzigen
• Geef ipconfig, ipconfig /release en ipconfig /renew opdrachten
• Voer de pin deblokkersleutel (PUK) in voor mobiele breedbandapparaten die ondersteuning bieden voor een SIM-kaart

Deze groep wordt weergegeven als een SID totdat de domeincontroller de primaire domeincontroller wordt en de rol van operations master (FSMO) vervult. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Gebruikers van prestatielogboeken

Leden van de groep Gebruikers van het prestatielogboek kunnen prestatiemeteritems, logboeken en waarschuwingen lokaal op de server en van externe clients beheren zonder lid te zijn van de groep Administrators. Met name leden van deze beveiligingsgroep:

• Kan alle functies gebruiken die beschikbaar zijn voor de groep Gebruikers van prestatiemeter.
• Kan de Windows Kernel Trace-gebeurtenisprovider niet gebruiken in Gegevensverzamelaarsets.

Om gegevensregistratie te starten of gegevensverzamelaarsets te wijzigen, moeten leden van de groep Gebruikers van het prestatielogboek eerst de gebruikersrechten Aanmelden als batchtaak krijgen toegewezen. Als u dit gebruikersrecht wilt toewijzen, gebruikt u de module Lokaal beveiligingsbeleid in Microsoft Management Console (MMC).

Deze groep wordt weergegeven als een SID totdat de domeincontroller de primaire domeincontroller wordt en de rol van operations master (FSMO) vervult. Dit account kan niet worden gewijzigd, verwijderd of verplaatst.

Prestatiemetergebruikers

Leden van deze groep kunnen prestatiemeteritems bewaken op domeincontrollers in het domein, lokaal en van externe clients, zonder lid te zijn van de groepen Administrators of Prestatielogboekgebruikers. De Windows-prestatiemeter is een MMC-module die hulpprogramma's biedt voor het analyseren van systeemprestaties. Vanuit één console kunt u de prestaties van toepassingen en hardware bewaken, aanpassen welke gegevens u wilt verzamelen in logboeken, drempelwaarden definiëren voor waarschuwingen en automatische acties, rapporten genereren en prestatiegegevens bekijken op verschillende manieren.

Met name leden van deze beveiligingsgroep:

• Kan alle functies gebruiken die beschikbaar zijn voor de groep Gebruikers.
• Kan realtime prestatiegegevens weergeven in Performance Monitor.
• Kan de eigenschappen van de prestatiemeterweergave wijzigen tijdens het weergeven van gegevens.
• Kan geen gegevensverzamelaarsets maken of wijzigen.

Deze groep wordt weergegeven als een SID totdat de domeincontroller de primaire domeincontroller wordt en de rol van operations master (FSMO) vervult. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Pre–Windows 2000 compatibele toegang

Leden van de groep Pre-Windows 2000 Compatibele Toegang hebben lees toegang voor alle gebruikers en groepen in het domein. Deze groep wordt geleverd voor achterwaartse compatibiliteit voor computers met Windows NT 4.0 en eerder. Standaard is de speciale identiteitsgroep Iedereen lid van deze groep. Voeg gebruikers alleen toe aan deze groep als ze Windows NT 4.0 of eerder uitvoeren.

De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Afdrukoperators

Leden van deze groep kunnen printers beheren, maken, delen en verwijderen die zijn verbonden met domeincontrollers in het domein. Ze kunnen ook Active Directory-printerobjecten in het domein beheren. Leden van deze groep kunnen zich lokaal aanmelden bij domeincontrollers in het domein en deze afsluiten.

Deze groep heeft geen standaardleden. Omdat leden van deze groep apparaatstuurprogramma's op alle domeincontrollers in het domein kunnen laden en verwijderen, voegt u voorzichtig gebruikers toe. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Zie Gedelegeerde printerbeheerder- en printermachtigingsinstellingen toewijzen in Windows Server 2012 voor meer informatie.

Beveiligde gebruikers

Leden van de groep Beveiligde gebruikers hebben extra beveiliging tegen het inbreuk op referenties tijdens verificatieprocessen.

Deze beveiligingsgroep is ontworpen als onderdeel van een strategie om referenties binnen de onderneming effectief te beveiligen en te beheren. Leden van deze groep hebben automatisch niet-geconfigureerde beveiliging toegepast op hun accounts. Lidmaatschap van de groep Beveiligde gebruikers is bedoeld om standaard beperkend en proactief veilig te zijn. De enige manier waarop u de beveiliging voor een account kunt wijzigen, is door het account uit de beveiligingsgroep te verwijderen.

Deze domeingerelateerde globale groep activeert niet-configureerbare beveiliging op apparaten en hostcomputers, te beginnen met Windows Server 2012 R2 en Windows 8.1. Het activeert ook niet-geconfigureerde beveiliging op domeincontrollers in domeinen met een primaire domeincontroller waarop Windows Server 2012 R2 of hoger wordt uitgevoerd. Deze beveiliging vermindert de geheugenvoetafdruk van referenties aanzienlijk wanneer gebruikers zich vanaf een niet-gecompromitteerde computer aanmelden bij computers in het netwerk.

Afhankelijk van het functionele domeinniveau van het account, worden leden van de groep Beveiligde gebruikers verder beveiligd vanwege gedragswijzigingen in de verificatiemethoden die worden ondersteund in Windows:

• Leden van de groep Beveiligde gebruikers kunnen zich niet verifiëren met behulp van de volgende SSP's (Security Support Providers): New Technology LAN Manager (NTLM), Digest Authentication of Credential Security Support Provider (CredSSP). Wachtwoorden worden niet in de cache opgeslagen op een apparaat met Windows 10 of Windows 8.1. Het apparaat kan niet worden geverifieerd bij een domein wanneer het account lid is van de groep Beveiligde gebruikers.
• Het Kerberos-protocol maakt geen gebruik van de zwakkere versleutelingstypen Data Encryption Standard (DES) of Rivest Cipher 4 (RC4) in het proces voor voorauthenticatie. Het domein moet worden geconfigureerd ter ondersteuning van ten minste de AES-suite (Advanced Encryption Standard).
• Het gebruikersaccount kan niet worden gedelegeerd met Kerberos-beperkte of niet-beperkte delegatie. Als de gebruiker lid is van de groep Beveiligde gebruikers, kunnen eerdere verbindingen met andere systemen mislukken.
• U kunt de standaardinstelling voor de levensduur van Kerberos-tickets (TGT's) van vier uur wijzigen met behulp van verificatiebeleid en silo's in het Active Directory-beheercentrum. In de standaardinstelling moet de gebruiker zich verifiëren na vier uur.

Deze groep is geïntroduceerd in Windows Server 2012 R2. Zie beveiligingsgroep beveiligde gebruikers voor meer informatie over de werking van deze groep.

RAS- en IAS-servers

Computers die lid zijn van de groep RAS- en IAS-servers, wanneer ze correct zijn geconfigureerd, kunnen externe toegangsservices gebruiken. Deze groep heeft standaard geen leden. Computers die de Routing and Remote Access Service (RRAS) en remote accessservices uitvoeren, zoals de Internet Authentication Service (IAS) en Network Policy Servers, worden automatisch aan de groep toegevoegd. Leden van deze groep hebben toegang tot bepaalde eigenschappen van gebruikersobjecten, zoals Accountbeperkingen lezen, Aanmeldingsgegevens lezen en Informatie over externe toegang lezen.

RDS-eindpuntservers

Servers die lid zijn van de groep RDS-eindpuntservers kunnen virtuele machines en hostsessies uitvoeren waarbij gebruikersprogramma's van de functie RemoteApp en persoonlijke virtuele bureaubladen worden uitgevoerd. U moet deze groep vullen op servers waarop Remote Desktop Connection Broker (RD Connection Broker) wordt uitgevoerd. Sessiehostservers en Extern bureaublad-virtualisatiehostservers (RD Virtualization Host) die in de implementatie worden gebruikt, moeten zich in deze groep bevinden. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Voor meer informatie over Externe Desktop-services (RDS) raadpleegt u het overzicht van Externe Desktop-services in Windows Server.

RDS-beheerservers

U kunt servers gebruiken die lid zijn van de groep RDS-beheerservers om routinebeheeracties uit te voeren op servers waarop RDS wordt uitgevoerd. U moet deze groep invullen op alle servers in een RDS-implementatie. De servers waarop de RDS Central Management-service wordt uitgevoerd, moeten worden opgenomen in deze groep. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

RDS-servers voor externe toegang

Servers in de groep RDS Remote Access Servers bieden gebruikers toegang tot de programma's en persoonlijke virtuele bureaubladen van de functie RemoteApp. In internetgerichte implementaties worden deze servers doorgaans geïmplementeerd in een edge-netwerk. U moet deze groep vullen op servers waarop RD Connection Broker wordt uitgevoerd. Servers voor Extern bureaublad-gateway (RD Gateway) en Extern bureaublad-webtoegang (RD Web Access) die in de implementatie worden gebruikt, moeten zich in deze groep bevinden. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Zie het overzicht van Extern bureaublad-services in Windows Server voor meer informatie.

Domeincontrollers met alleen-lezen toegang

Deze groep bestaat uit de RODC's in het domein. Met een RODC kunnen organisaties eenvoudig een domeincontroller implementeren in scenario's waarin fysieke beveiliging niet kan worden gegarandeerd. Een voorbeeldscenario is een filiaallocatie of lokale opslag van alle domeinwachtwoorden die als een primaire bedreiging worden beschouwd, zoals in een extranet of toepassingsgerichte rol.

Omdat u het beheer van een RODC kunt delegeren aan een domeingebruiker of beveiligingsgroep, is een RODC geschikt voor een site die geen gebruiker mag hebben die lid is van de groep Domeinadministrators. Een RODC heeft de volgende functionaliteit:

• Een alleen-lezen AD DS-database
• Unidirectionele replicatie
• Opslaan van referenties in cache
• Scheiding van beheerdersrollen
• Een alleen-lezen DNS

Voor meer informatie zie Inzicht in planning en inzet voor Read-Only domeincontrollers.

Gebruikers van extern bureaublad

U kunt de groep 'Gebruikers van Extern Bureaublad' op een RD Session Host-server gebruiken om gebruikers en groepen rechten te verlenen voor het maken van een externe verbinding met een RD Session Host-server. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst. De groep wordt weergegeven als een SID totdat de domeincontroller de primaire domeincontroller en deze de rol operations master (FSMO) heeft.

Gebruikers voor afstandsbeheer

Leden van de groep Gebruikers voor extern beheer hebben toegang tot WMI-resources (Windows Management Instrumentation) via beheerprotocollen zoals Web Services for Management (WS-Management) via de Windows Remote Management-service. Toegang tot WMI-resources is alleen van toepassing op WMI-naamruimten die toegang verlenen tot de gebruiker.

Gebruik de groep Gebruikers voor extern beheer om gebruikers toe te staan servers te beheren via de Serverbeheer-console. Gebruik de WinRMRemoteWMIUsers__ groep om gebruikers toe te staan windows PowerShell-opdrachten op afstand uit te voeren.

De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Zie Voor meer informatie over WMI en wat is er nieuw in MI?.

Replicator

Computers die lid zijn van de replicatorgroep ondersteunen bestandsreplicatie in een domein. Windows Server maakt gebruik van File Replication Service (FRS) voor het repliceren van systeembeleid en aanmeldingsscripts die zijn opgeslagen in de map Systeemvolume (sysvol-map). Elke domeincontroller bewaart een kopie van de sysvol-map voor netwerkclients voor toegang. FRS kan ook gegevens repliceren voor het Distributed File System (DFS) en de inhoud van elk lid in een replicaset synchroniseren, zoals gedefinieerd door het DFS. FRS kan gedeelde bestanden en mappen op meerdere servers tegelijk kopiëren en onderhouden. Wanneer er wijzigingen optreden, wordt inhoud direct binnen sites en volgens een schema tussen sites gesynchroniseerd.

Zie de volgende bronnen voor meer informatie:

• File Replication Service (FRS) is verouderd verklaard in Windows Server 2008 R2 (Windows)
• Overzicht van DFS-naamruimten en DFS-replicatie

De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Schemabeheerders

Leden van de groep Schemaadministrators kunnen het Active Directory-schema wijzigen. Deze groep bestaat alleen in het hoofddomein van een Active Directory-forest van domeinen. Deze groep is een universele groep als het domein zich in de systeemeigen modus bevindt. Deze groep is een globale groep als het domein zich in gemengde modus bevindt.

Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein. Deze groep heeft volledige beheerderstoegang tot het schema.

Een van de servicebeheerdersgroepen in het hoofddomein kan het lidmaatschap van deze groep wijzigen. Deze groep wordt beschouwd als een servicebeheerdersaccount omdat de leden het schema kunnen wijzigen, wat de structuur en inhoud van de hele map bepaalt.

Zie Wat is het Active Directory-schema voor meer informatie?

Serverbeheerders

Leden van de groep Serveroperators kunnen domeincontrollers beheren. Deze groep bestaat alleen op domeincontrollers. Deze groep heeft standaard geen leden en kan niet worden hernoemd, verwijderd of aangepast. Leden van de groep Serveroperators kunnen de volgende acties uitvoeren:

• Interactief aanmelden bij een server
• Gedeelde netwerkbronnen maken en verwijderen
• Diensten stoppen en starten
• Back-ups maken en bestanden herstellen
• De harde schijf van het apparaat formatteren
• Het apparaat afsluiten

Deze ingebouwde groep heeft standaard geen leden. Deze groep heeft toegang tot serverconfiguratieopties op domeincontrollers. Het lidmaatschap wordt beheerd via de servicebeheerdersgroepen Administrators en Domeinadministrators in het domein, en door de groep Ondernemingsadministrators in het foresthoofddomein. Leden in deze groep kunnen geen lidmaatschappen van beheerdersgroepen wijzigen. Deze groep wordt beschouwd als een servicebeheerdersaccount omdat de leden fysieke toegang hebben tot domeincontrollers. Leden van deze groep kunnen onderhoudstaken uitvoeren, zoals back-up en herstel, en ze kunnen binaire bestanden wijzigen die op de domeincontrollers zijn geïnstalleerd. Zie de volgende tabel voor de standaardgebruikersrechten van de groep.

Beheerders van opslagreplica's

Leden van de groep Opslagreplicabeheerders hebben volledige en onbeperkte toegang tot alle functies van het hulpprogramma Opslagreplica.

Door het systeem beheerde accounts

Lidmaatschap van de groep System Managed Accounts wordt systeemmatig beheerd. Deze groep omvat de DSMA (Default System Managed Account), waarmee systeemfuncties worden gefaciliteerd.

Terminal Server-licentieservers

Leden van de groep Terminal Server-licentieservers kunnen gebruikersaccounts in Active Directory bijwerken met informatie over licentieuitgifte. De groep wordt gebruikt voor het bijhouden en rapporteren van het gebruik van Terminal Server Gebruikers Clienttoeganglicenties (TS per gebruikers CAL). Een TS Per Gebruiker CAL geeft één gebruiker het recht om toegang te krijgen tot een exemplaar van Terminal Server vanaf een onbeperkt aantal clientcomputers of -apparaten. Deze groep wordt weergegeven als een SID totdat de domeincontroller de primaire domeincontroller wordt en de rol van operations master (FSMO) vervult. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Zie voor meer informatie over deze beveiligingsgroep de configuratie van de Terminal Services License Server-beveiligingsgroep.

Users

Leden van de groep Gebruikers kunnen geen onbedoelde of opzettelijke wijzigingen in het hele systeem aanbrengen. Leden van deze groep kunnen de meeste toepassingen uitvoeren. Na de eerste installatie van het besturingssysteem is het enige lid de groep Geverifieerde gebruikers. Wanneer een computer lid wordt van een domein, wordt de groep Domeingebruikers toegevoegd aan de groep Gebruikers op de computer.

Gebruikers kunnen taken uitvoeren zoals een toepassing uitvoeren, lokale printers en netwerkprinters gebruiken, de computer afsluiten en de computer vergrendelen. Gebruikers kunnen toepassingen installeren die alleen kunnen worden gebruikt als het installatieprogramma van de toepassing ondersteuning biedt voor installatie per gebruiker. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

Toegang tot Windows-autorisatie

Leden van deze groep hebben toegang tot het tokenGroupsGlobalAndUniversal kenmerk op gebruikersobjecten. Deze toegang is handig, omdat sommige toepassingsfuncties het token-groups-global-and-universal (TGGAU) kenmerk lezen voor gebruikersaccountobjecten of op computeraccountobjecten in AD DS. Sommige Win32-functies maken het gemakkelijker om het TGGAU kenmerk te lezen. Maar toepassingen die dit kenmerk lezen of een API aanroepen die dit kenmerk leest, slagen niet als de aanroepende beveiligingscontext geen toegang heeft tot het kenmerk. Met deze groep kunt u gemakkelijker leestoegang verlenen tot het kenmerk.

Deze groep wordt weergegeven als een SID totdat de domeincontroller de primaire domeincontroller wordt en de rol van operations master (FSMO) vervult. De naam van deze groep kan niet worden gewijzigd, verwijderd of verplaatst.

WinRMRemoteWMIUsers__

Vanaf Windows Server 2012 en Windows 8 bevat de gebruikersinterface Geavanceerde beveiligingsinstellingen een tabblad Delen . Op dit tabblad worden de beveiligingseigenschappen van een externe bestandsshare weergegeven. Als u deze informatie wilt weergeven, moet u over de volgende machtigingen en lidmaatschappen beschikken:

• U moet lid zijn van de WinRMRemoteWMIUsers__ groep of de groep BUILTIN\Administrators.
• U moet leesmachtigingen hebben voor de bestandsshare.

In Windows Server 2012 voegt de functionaliteit Toegang Geweigerd Assistentie de groep Geverifieerde gebruikers toe aan de lokale WinRMRemoteWMIUsers__-groep. Wanneer de functie Hulp bij geweigerde toegang is ingeschakeld, kunnen alle geverifieerde gebruikers met leesmachtigingen voor de bestandsshare de machtigingen voor de bestandsshare bekijken.

Verwante inhoud

• beveiligingsprinciplen
• Speciale identiteitsgroepen
• Overzicht van toegangsbeheer