Active Directory. Группы по умолчанию

В Windows Server создаётся множество локальных групп по умолчанию. Рассмотрим те из них, которым предоставлены права, связанные с управлением Active Directory.

1. Администраторы предприятия (Enterprise Admins) в контейнере Users корневого домена леса. Эта группа - член группы Администраторы (Administrators) в каждом домене леса; она предоставляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.
2. Администраторы схемы (Schema Admins) в контейнере Users корневого домена леса. Эта группа имеет полный доступ к схеме AD.
3. Администраторы (Administrators) в контейнере Builtin каждого домена. Эта группа имеет полный доступ ко всем контроллерам домена и данным в контексте именования домена. Она может изменять членство во всех административных группах домена, а группа Администраторы в корневом домене леса может изменять членство в группах Администраторы предприятия, Администраторы схемы и Администраторы домена. Группа Администраторы в корневом домене леса имеет наибольшие полномочия среди групп администрирования в лесу.
4. Администраторы домена (Domain Admins) в контейнере Users каждого домена. Эта группа входит в группу Администраторы своего домена. Поэтому она наследует все полномочия группы Администраторы. Кроме того, она по умолчанию входит в локальную группу Администраторы каждого рядового компьютера домена, в результате чего администраторы домена получают в свое распоряжение все компьютеры домена.
5. Операторы сервера (Server Operators) в контейнере Builtin каждого домена. Эта группа может решать задачи технической поддержки на контроллерах домена. Операторы сервера могут локально входить в систему, запускать и останавливать службы, выполнять резервное копирование и восстановление, форматировать диски, создавать и удалять общие ресурсы, а также завершать работу контроллеров доменов. По умолчанию данная группа не содержит членов.
6. Операторы учета (Account Operators) в контейнере Builtin каждого домена. Эта группа может создавать, модифицировать и удалять учетные записи пользователей, групп и компьютеров в любом подразделении домена (кроме Domain Controllers), а также в контейнерах Users и Computers. Операторы учета не могут модифицировать учетные записи, включенные в группы Администраторы и Администраторы домена, а также не могут модифицировать эти группы. Операторы учета также могут локально входить на контроллеры домена. По умолчанию эта группа не содержит членов.
7. Операторы архива (Backup Oprators) в контейнере Builtin каждого домена. Эта группа может выполнять операции резервного копирования и восстановления на контроллерах домена, а также локально входить на КД и завершать их работу. По умолчанию не содержит членов.
8. Операторы печати (Print Operators)  в контейнере Builtn каждого домена. Может обеспечивать поддержку очередей заданий печати на КД. Также может локально входить на КД и завершать их работу.

Следует с осторожностью относиться к группам по умолчанию, т.к. они как правило имеют более обширные полномочия, чем требуется для большинства делегированных сред, а также применяют защиту своих членов. Например, Операторы учета - защищенная группа. Снять защиту таких групп невозможно. Если пользователь становится членом защищенной группы, модифицируются его списки контроля доступа и они больше не наследуют разрешения своих подразделений. Поэтому рекомендуется не добавлять пользователей в группы, которые по умолчанию не содержат членов.


Информация из книги "Настройка Active Directory Windows Server 2008".

Ссылки:
AD. Группы по умолчанию
Локальные группы по умолчанию