Группы в контейнере «Пользователи»

В данной таблице содержится описание групп, используемых по умолчанию, размещенных в контейнере Users, а также перечислены права пользователей, назначенные каждой группе. Полное описание прав пользователей, перечисленных в таблице, см. в разделе Назначение прав пользователя. Сведения о редактировании прав пользователей см. в разделе Изменение параметров безопасности для объекта групповой политики.

 

Группа	Описание	Права пользователя по умолчанию
Издатели сертификатов	Членам этой группы разрешается публиковать сертификаты для пользователей и компьютеров. Эта группа не имеет членов по умолчанию.	Права пользователя по умолчанию отсутствуют.
DnsAdmins (устанавливается вместе с DNS)	Члены этой группы имеют административный доступ к службе сервера DNS. Эта группа не имеет членов по умолчанию.	Права пользователя по умолчанию отсутствуют.
DnsUpdateProxy (устанавливается вместе с DNS)	Члены данной группы являются клиентами DNS и могут выполнять динамические обновления от имени других клиентов, таких как серверы DHCP. Эта группа не имеет членов по умолчанию.	Права пользователя по умолчанию отсутствуют.
Администраторы домена	Члены этой группы полностью контролируют домен. По умолчанию, эта группа является членом группы «Администраторы» на всех контроллерах домена, всех рабочих станциях домена и всех входящих в домен серверов на то время, пока они присоединены к домену. По умолчанию членом этой группы является учетная запись «Администратор». Добавлять членов в эту группу следует с осторожностью по причине полного контроля членов группы над доменом.	Доступ к компьютеру из сети; Настройка квот памяти для процесса; Архивирование файлов и каталогов; Обход перекрестной проверки; Изменение системного времени; Создание файла подкачки; Отладка программ; Разрешение доверия к учетным записям компьютеров и пользователей при делегировании; Принудительное удаленное завершение работы; Увеличение приоритета диспетчирования; Загрузка и выгрузка драйверов устройств; Разрешение локального входа; Управление аудитом и журналом безопасности; Изменение параметров среды оборудования; Профилирование одного процесса; Профилирование загруженности системы; Отключение компьютера от стыковочного узла; Восстановление файлов и каталогов; Завершение работы системы; Смена владельца файлов или иных объектов.
Компьютеры домена	Эта группа содержит все рабочие станции и серверы, соединенные с доменом. По умолчанию любая созданная учетная запись компьютера автоматически становится членом этой группы.	Права пользователя по умолчанию отсутствуют.
Контроллеры домена	Эта группа содержит все контроллеры домена в домене.	Права пользователя по умолчанию отсутствуют.
Гости домена	Эта группа содержит всех гостей домена.	Права пользователя по умолчанию отсутствуют.
Пользователи домена	Эта группа содержит всех пользователей домена. По умолчанию любая созданная в домене учетная запись пользователя автоматически становится членом этой группы. Эта группа может быть использована для представления всех пользователей в домене. Например, для обеспечения доступа к принтеру всем пользователям домена можно назначить разрешение на доступ к принтеру этой группе (либо включить группу «Пользователи домена» в локальную группу на сервере печати, имеющую разрешения на доступ к принтеру).	Права пользователя по умолчанию отсутствуют.
Администраторы предприятия (появляются только в корневом домене леса)	Члены этой группы полностью управляют контроллерами домена в лесу. По умолчанию, эта группа является членом группы «Администраторы» на всех контроллерах домена в лесу. По умолчанию членом этой группы является учетная запись «Администратор». Поскольку члены этой группы имеют полный доступ на управление лесом, следует соблюдать осторожность при добавлении в нее новых пользователей.	Доступ к компьютеру из сети; Настройка квот памяти для процесса; Архивирование файлов и каталогов; Обход перекрестной проверки; Изменение системного времени; Создание файла подкачки; Отладка программ; Разрешение доверия к учетным записям компьютеров и пользователей при делегировании; Принудительное удаленное завершение работы; Увеличение приоритета диспетчирования; Загрузка и выгрузка драйверов устройств; Разрешение локального входа; Управление аудитом и журналом безопасности; Изменение параметров среды оборудования; Профилирование одного процесса; Профилирование загруженности системы; Отключение компьютера от стыковочного узла; Восстановление файлов и каталогов; Завершение работы системы; Смена владельца файлов или иных объектов.
Владельцы-создатели групповой политики	Члены этой группы могут изменять групповую политику в домене. По умолчанию членом этой группы является учетная запись «Администратор». Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы в домене.	Права пользователя по умолчанию отсутствуют.
IIS_WPG (устанавливается вместе с IIS)	Группа IIS_WPG является группой рабочего процесса IIS 6.0 (Internet Information Services). Работа IIS 6.0 представляет собой рабочие процессы, обслуживающие определенные пространства имен. Например, www.microsoft.com, — это пространство имени, обслуживаемое одним рабочим процессом, который может быть запущен при помощи личных данных, добавленных к группе IIS_WPG, таких как MicrosoftAccount. Эта группа не имеет членов по умолчанию.	Права пользователя по умолчанию отсутствуют.
Серверы RAS и IAS	Серверам этой группы разрешен доступ к свойствам удаленного доступа пользователей.	Права пользователя по умолчанию отсутствуют.
Администраторы схемы (появляется только в корневом домене леса)	Члены этой группы могут изменять схему Active Directory. По умолчанию членом этой группы является учетная запись «Администратор». Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы в лесу.	Права пользователя по умолчанию отсутствуют.

 

 

Вложенность групп

Вложенность групп

Поддержка вложенности групп позволяет добавлять группу в другую группу в качестве члена. Вложение групп необходимо для объединения учетных записей членов и для сокращения трафика репликации.

Параметры вложенности зависят от выбранного режима работы домена Windows Server 2003 — основного режима Windows 2000 или смешанного режима Windows 2000.

Членами групп в доменах, работающих в основном режиме Windows 2000, или групп распространения в доменах, работающих в смешанном режиме Windows 2000, могут быть следующие учетные записи и группы.

• В группы с универсальной областью действия могут входить: учетные записи, учетные записи компьютера, другие группы с универсальной областью действия, а также группы с глобальной областью действия из другого домена.
• В группы с глобальной областью действия могут входить: учетные записи с того же самого домена и другие группы с глобальной областью действия из того же самого домена.
• В группы с локальной областью действия в домене могут входить: учетные записи, группы с универсальной областью действия и группы с глобальной областью действия (все из любого домена) и эти группы могут также иметь в качестве членов другие группы с локальной областью действия из того же домена.

Группы безопасности в доменах, установленных в смешанном режиме Windows 2000, ограничены следующими типами членства:

• группы с глобальной областью действия могут иметь в качестве своих членов только учетные записи;
• группы с локальной областью действия в домене могут иметь в качестве своих членов другие группы с глобальной областью действия, а также учетные записи.

Группы безопасности с универсальной областью действия не могут быть созданы в доменах, работающих в смешанном режиме Windows 2000, так как универсальная область действия поддерживается только в доменах, работающих в основном режиме Windows 2000 или Windows Server 2003.

Дополнительные сведения о режиме работы домена см. в разделе Функциональность домена и леса.

 

 

Специальные удостоверения

Специальные удостоверения

Кроме групп, содержащихся в контейнерах Builtin и Users, серверы, работающие под управлением Windows Server 2003, включают несколько специальных удостоверений. Для удобства, эти удостоверения обычно называются группами. Эти специальные группы не имеют специальных членств, которые можно изменять, но могут представлять различных пользователей в различные моменты времени в зависимости от обстоятельств. Cпециальными группами являются:

• Анонимный вход
  
  Представляет пользователей и службы, которые имеют доступ к компьютеру и его ресурсам через сеть без использования имени учетной записи, пароля или имени домена. На компьютерах, работающих под управлением Windows NT и более ранних версий, группа «Анонимный вход» является членом группы «Все» по умолчанию. На компьютерах, работающих под управлением Windows Server 2003, группа «Анонимный вход» не является членом группы «Все» по умолчанию.
• Все
  
  представляет всех текущих пользователей сети, включая гостей и пользователей из других доменов. Всякий раз, когда пользователь входит в сеть, он автоматически добавляется в группу «Все».
• Сеть
  
  представляет пользователей, которые в настоящий момент имеют доступ к данному ресурсу через сеть (в отличие от пользователей, имеющих доступ к ресурсу посредством локального вхождения на компьютер, содержащий этот ресурс). Всякий раз, когда пользователь подключается к данному ресурсу через сеть, он автоматически добавляется в группу «Сеть».
• Интерактивные
  
  представляет всех пользователей, которые в настоящий момент вошли на компьютер и подключаются к данному ресурсу, расположенному на этом компьютере (в отличие от пользователей, которые подключены к ресурсу через сеть). Всякий раз, когда пользователь подключается к данному ресурсу на компьютере, на который он в настоящее время вошел, он автоматически добавляется в группу «Интерактивные».

Несмотря на то, что специальным удостоверениям могут быть назначены права и разрешения для ресурсов, членства не могут быть изменены или просмотрены. Понятие областей действия группы не применимо к специальным удостоверениям. Пользователи автоматически назначаются этим специальным удостоверениям каждый раз, когда они входят в систему или подключаются к конкретному ресурсу.

Общие сведения о группах см. в разделе Группы.