(0) exportieren Drucken
Alle erweitern

Standardgruppen

Letzte Aktualisierung: Januar 2005

Betrifft: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Standardgruppen

Standardgruppen, wie z. B. die Gruppe Domänen-Admins, sind Sicherheitsgruppen, die beim Erstellen einer Active Directory-Domäne automatisch erstellt werden. Mithilfe dieser vordefinierten Gruppen können Sie den Zugriff auf freigegebene Ressourcen steuern und bestimmte domänenweite Verwaltungsfunktionen delegieren. Informationen zu Standardgruppen, die auf lokalen Computern gespeichert sind, finden Sie unter Lokale Standardgruppen.

Vielen Standardgruppen werden automatisch Benutzerrechte zugewiesen, die es Mitgliedern der Gruppe gestatten, bestimmte Aktionen in einer Domäne auszuführen, wie z. B. das Anmelden an einem lokalen System oder das Sichern von Dateien und Ordnern. Beispielsweise hat ein Mitglied der Gruppe Sicherungs-Operatoren die Berechtigung, Sicherungsvorgänge für alle Domänencontroller in der Domäne auszuführen.

Wenn Sie einen Benutzer zu einer Gruppe hinzufügen, erhält der Benutzer alle Benutzerrechte, die dieser Gruppe zugewiesen sind, sowie alle Berechtigungen, die dieser Gruppe in freigegebenen Ressourcen zugewiesen sind. Weitere Informationen zu Benutzerrechten und -berechtigungen finden Sie unter Gruppentypen.

Gruppen können mithilfe von Active Directory-Benutzer und -Computer verwaltet werden. Standardgruppen befinden sich in den Containern Vordefiniert und Benutzer. Der Container Vordefiniert enthält Gruppen mit dem Gruppenbereich "Lokale Domäne". Der Container Benutzer enthält Gruppen mit dem Gruppenbereich "Global" bzw. "Lokale Domäne". Die Gruppen in diesen Containern können innerhalb der Domäne zwar in andere Gruppen oder Organisationseinheiten, nicht aber in andere Domänen verschoben werden.

Aus Sicherheitsgründen wird empfohlen, dass Mitglieder von Standardgruppen mit umfassenden Verwaltungsberechtigungen Ausführen als verwenden, um administrative Aufgaben auszuführen. Weitere Informationen finden Sie unter Verwenden von "Ausführen als". Informationen zu Sicherheitsempfehlungen finden Sie unter Active Directory – Empfehlungen. Informationen zu zusätzlichen Sicherheitsmaßnahmen zum Schutz von Active Directory finden Sie unter Schützen von Active Directory.

Hinweis

  • Viele Verfahrensthemen im Hilfe- und Supportcenter unter Verwendung enthalten Hinweise, denen Sie entnehmen können, welcher Gruppe Sie als Mitglied angehören müssen, um ein bestimmtes Verfahren ausführen zu können.

Gruppen im Container "Vordefiniert"

Die folgende Tabelle beschreibt die Standardgruppen im Container Vordefiniert und listet die den einzelnen Gruppen zugewiesenen Benutzerrechte auf. Vollständige Beschreibungen der in der Tabelle aufgeführten Benutzerrechte finden Sie unter Zuweisen von Benutzerrechten. Informationen zum Bearbeiten dieser Rechte finden Sie unter Bearbeiten von Sicherheitseinstellungen für ein Gruppenrichtlinienobjekt.

 

Gruppe Beschreibung Standardbenutzerrechte

Konten-Operatoren

Mitglieder dieser Gruppe können Konten für Benutzer, Gruppen und Computer in den Containern Benutzer oder Computer und den Organisationseinheiten der Domäne erstellen, ändern und löschen, mit Ausnahme der Organisationseinheit Domänen-Controller. Mitglieder dieser Gruppe dürfen die Gruppe Administratoren oder Domänen-Admins sowie die Konten für Mitglieder dieser Gruppen nicht ändern. Mitglieder dieser Gruppe können sich lokal an Domänencontrollern in der Domäne anmelden und diese herunterfahren. Da diese Gruppe erhebliche Zugriffsrechte in der Domäne besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen.

Lokal anmelden zulassen; Herunterfahren des Systems.

Administratoren

Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänencontroller in der Domäne. Standardmäßig sind die Gruppen Domänen-Admins und Organisations-Admins Mitglieder der Gruppe Administratoren. Das Konto Administrator ist ebenfalls ein Standardmitglied. Da diese Gruppe Vollzugriff in der Domäne besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen.

Auf diesen Computer vom Netzwerk zugreifen; Anpassen von Speicherkontingenten für einen Prozess; Sichern von Dateien und Verzeichnissen; Auslassen der durchsuchenden Überprüfung; Ändern der Systemzeit; Erstellen einer Auslagerungsdatei; Debuggen von Programmen; Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird; Erzwingen des Herunterfahrens von einem Remotesystem; Anheben der Zeitplanungspriorität; Laden und Entfernen von Gerätetreibern; Lokal anmelden zulassen; Verwalten von Überwachungs- und Sicherheitsprotokollen; Verändern des Firmwareumgebungswerts; Erstellen eines Profils für einen Einzelprozess; Erstellen eines Profils der Systemleistung; Entfernen des Computers von der Dockingstation; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems; Übernehmen des Besitzes von Dateien und anderen Objekten.

Sicherungs-Operatoren

Die Mitglieder dieser Gruppe können alle Dateien auf Domänencontrollern in der Domäne sichern und wiederherstellen, und zwar unabhängig von ihren eigenen individuellen Berechtigungen für diese Dateien. Sicherungs-Operatoren können sich außerdem an Domänencontrollern anmelden und diese herunterfahren. Diese Gruppe besitzt keine Standardmitglieder. Da diese Gruppe erhebliche Zugriffsrechte auf Domänencontroller besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen.

Sichern von Dateien und Verzeichnissen; Lokal anmelden zulassen; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems.

Gäste

Die Gruppe Domänen-Gäste ist standardmäßig ein Mitglied dieser Gruppe. Das Konto Gast (standardmäßig deaktiviert) ist ebenfalls ein Standardmitglied dieser Gruppe.

Keine Standardbenutzerrechte.

Erstellungen eingehender Gesamtstrukturvertrauensstellung (wird nur in der Gesamtstruktur-Stammdomäne angezeigt)

Mitglieder dieser Gruppe können unidirektionale, eingehende Gesamtstrukturvertrauensstellungen für die Gesamtstruktur-Stammdomäne erstellen. Beispielsweise können Mitglieder dieser Gruppe in der Gesamtstruktur A eine von der Gesamtstruktur B aus eingehende, unidirektionale Gesamtstrukturvertrauensstellung erstellen. Diese ermöglicht Benutzern in der Gesamtstruktur A den Zugriff auf Ressourcen in der Gesamtstruktur B. Mitgliedern dieser Gruppe ist die Berechtigung Eingehende Gesamtstrukturvertrauensstellung erstellen für die Gesamtstruktur-Stammdomäne erteilt. Diese Gruppe besitzt keine Standardmitglieder. Weitere Informationen zum Erstellen von Gesamtstrukturvertrauensstellungen finden Sie unter Erstellen einer Gesamtstrukturvertrauensstellung.

Keine Standardbenutzerrechte.

Netzwerkkonfigurations-Operatoren

Mitglieder dieser Gruppe können Änderungen an TCP/IP-Einstellungen vornehmen und TCP/IP-Adressen auf Domänencontrollern in der Domäne erneuern und freigeben. Diese Gruppe besitzt keine Standardmitglieder.

Keine Standardbenutzerrechte.

Systemmonitorbenutzer

Mitglieder dieser Gruppe können Leistungsindikatoren auf Domänencontrollern in der Domäne lokal und von Remoteclients aus überwachen, ohne Mitglied der Gruppen Administratoren oder Leistungsprotokollbenutzer zu sein.

Keine Standardbenutzerrechte.

Leistungsprotokollbenutzer

Mitglieder dieser Gruppe können Leistungsindikatoren, Protokolle und Warnungen auf Domänencontrollern in der Domäne lokal und von Remoteclients aus verwalten, ohne Mitglied der Gruppe Administratoren zu sein.

Keine Standardbenutzerrechte.

Prä-Windows 2000 kompatibler Zugriff

Mitglieder dieser Gruppe haben Lesezugriff auf alle Benutzer und Gruppen in der Domäne. Diese Gruppe dient zur Abwärtskompatibilität mit Computern unter Windows NT 4.0 und früher. Die Sondergruppe Jeder ist standardmäßig Mitglied dieser Gruppe. Weitere Informationen zu Sondergruppen finden Sie unter Sondergruppen. Fügen Sie zu dieser Gruppe nur Benutzer hinzu, die Windows NT 4.0 oder früher verwenden.

Auf diesen Computer vom Netzwerk aus zugreifen; Auslassen der durchsuchenden Überprüfung.

Druck-Operatoren

Mitglieder dieser Gruppe können Drucker, die mit Domänencontrollern in der Domäne verbunden sind, verwalten, einrichten und freigeben. Darüber hinaus können sie Active Directory-Druckerobjekte in der Domäne verwalten. Mitglieder dieser Gruppe können sich lokal an Domänencontrollern in der Domäne anmelden und diese herunterfahren. Diese Gruppe besitzt keine Standardmitglieder. Da Mitglieder dieser Gruppe Gerätetreiber auf allen Domänencontrollern in der Domäne laden und entfernen können, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen.

Lokal anmelden zulassen; Herunterfahren des Systems.

Remotedesktopbenutzer

Mitglieder dieser Gruppe können sich remote an Domänencontrollern in der Domäne anmelden. Diese Gruppe besitzt keine Standardmitglieder.

Keine Standardbenutzerrechte.

Replikations-Operator

Diese Gruppe unterstützt Funktionen der Verzeichnisreplikation und wird vom Dateireplikationsdienst auf Domänencontrollern in der Domäne verwendet. Diese Gruppe besitzt keine Standardmitglieder. Fügen Sie keine Benutzer zu dieser Gruppe hinzu.

Keine Standardbenutzerrechte.

Server-Operatoren

An Domänencontrollern können sich Mitglieder dieser Gruppe interaktiv anmelden. Außerdem können sie freigegebene Ressourcen erstellen und löschen, bestimmte Dienste starten und beenden, Dateien sichern und wiederherstellen, die Festplatte formatieren und den Computer herunterfahren. Diese Gruppe besitzt keine Standardmitglieder. Da diese Gruppe erhebliche Zugriffsrechte auf Domänencontroller besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen.

Sichern von Dateien und Verzeichnissen; Ändern der Systemzeit; Erzwingen des Herunterfahrens von einem Remotesystem aus; Lokal anmelden zulassen; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems.

Benutzer

Mitglieder dieser Gruppe können die meisten allgemeinen Aufgaben durchführen, wie z. B. das Ausführen von Anwendungen, das Verwenden von lokalen und Netzwerkdruckern sowie das Sperren des Servers. Die Gruppen Domänen-Benutzer, Authentifizierte Benutzer und Interaktiv sind standardmäßig Mitglieder dieser Gruppe. Daher wird jedes in der Domäne erstellte Benutzerkonto Mitglied dieser Gruppe.

Keine Standardbenutzerrechte.

Gruppen im Container "Benutzer"

Die folgende Tabelle beschreibt die Standardgruppen im Container Benutzer und listet die den einzelnen Gruppen zugewiesenen Benutzerrechte auf. Vollständige Beschreibungen der in der Tabelle aufgeführten Benutzerrechte finden Sie unter Zuweisen von Benutzerrechten. Informationen zum Bearbeiten dieser Rechte finden Sie unter Bearbeiten von Sicherheitseinstellungen für ein Gruppenrichtlinienobjekt.

 

Gruppe Beschreibung Standardbenutzerrechte

Zertifikatherausgeber

Mitglieder dieser Gruppe dürfen Zertifikate für Benutzer und Computer veröffentlichen. Diese Gruppe besitzt keine Standardmitglieder.

Keine Standardbenutzerrechte.

DnsAdmins (wird mit DNS installiert)

Mitglieder dieser Gruppe haben Administratorzugriff auf den DNS-Serverdienst. Diese Gruppe besitzt keine Standardmitglieder.

Keine Standardbenutzerrechte.

DnsUpdateProxy (wird mit DNS installiert)

Die Mitglieder dieser Gruppe sind DNS-Clients, die dynamische Updates im Auftrag von anderen Clients, wie z. B. DHCP-Servern, ausführen können. Diese Gruppe besitzt keine Standardmitglieder.

Keine Standardbenutzerrechte.

Domänen-Admins

Mitglieder dieser Gruppe haben Vollzugriff auf die Domäne. Diese Gruppe ist standardmäßig ein Mitglied der Gruppe Administratoren auf allen Domänencontrollern, allen Domänenarbeitsstationen und allen Domänenmitgliedsservern, wenn diese der Domäne hinzugefügt werden. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Da diese Gruppe Vollzugriff in der Domäne besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen.

Auf diesen Computer vom Netzwerk zugreifen; Anpassen von Speicherkontingenten für einen Prozess; Sichern von Dateien und Verzeichnissen; Auslassen der durchsuchenden Überprüfung; Ändern der Systemzeit; Erstellen einer Auslagerungsdatei; Debuggen von Programmen; Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird; Erzwingen des Herunterfahrens von einem Remotesystem; Anheben der Zeitplanungspriorität; Laden und Entfernen von Gerätetreibern; Lokal anmelden zulassen; Verwalten von Überwachungs- und Sicherheitsprotokollen; Verändern der Firmwareumgebungswerte; Erstellen eines Profils für einen Einzelprozess; Erstellen eines Profils der Systemleistung; Entfernen des Computers von der Dockingstation; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems; Übernehmen des Besitzes von Dateien und anderen Objekten.

Domänencomputer

Diese Gruppe enthält alle Arbeitsstationen und Server, die der Domäne angehören. Standardmäßig wird jedes erstellte Computerkonto automatisch Mitglied dieser Gruppe.

Keine Standardbenutzerrechte.

Domänencontroller

Diese Gruppe enthält alle Domänencontroller in der Domäne.

Keine Standardbenutzerrechte.

Domänen-Gäste

Diese Gruppe enthält alle Gäste der Domäne.

Keine Standardbenutzerrechte.

Domänen-Benutzer

Diese Gruppe enthält alle Benutzer der Domäne. Standardmäßig wird jedes in der Domäne erstellte Benutzerkonto automatisch Mitglied dieser Gruppe. Mit dieser Gruppe können alle Benutzer in der Domäne repräsentiert werden. Sollen z. B. alle Benutzer in dieser Domäne Zugriff auf einen Drucker haben, können Sie dieser Gruppe Zugriffsberechtigungen für den Drucker zuweisen (oder die Gruppe Domänen-Benutzer zu einer lokalen Gruppe auf dem Druckserver hinzufügen, die über Berechtigungen für den Druckerzugriff verfügt).

Keine Standardbenutzerrechte.

Organisations-Admins (wird nur in der Gesamtstruktur-Stammdomäne angezeigt)

Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänen in der Gesamtstruktur. Diese Gruppe ist standardmäßig Mitglied der Gruppe Administratoren auf allen Domänencontrollern in der Gesamtstruktur. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Da diese Gruppe über Vollzugriff auf die Gesamtstruktur verfügt, sollten Sie beim Hinzufügen von Benutzern zu der Gruppe mit Bedacht vorgehen.

Auf diesen Computer vom Netzwerk zugreifen; Anpassen von Speicherkontingenten für einen Prozess; Sichern von Dateien und Verzeichnissen; Auslassen der durchsuchenden Überprüfung; Ändern der Systemzeit; Erstellen einer Auslagerungsdatei; Debuggen von Programmen; Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird; Erzwingen des Herunterfahrens von einem Remotesystem aus; Anheben der Zeitplanungspriorität; Laden und Entfernen von Gerätetreibern; Lokal anmelden zulassen; Verwalten von Überwachungs- und Sicherheitsprotokollen; Verändern der Firmwareumgebungswerte; Erstellen eines Profils für einen Einzelprozess; Erstellen eines Profils der Systemleistung; Entfernen des Computers von der Dockingstation; Wiederherstellen von Dateien und Verzeichnissen; Herunterfahren des Systems; Übernehmen des Besitzes von Dateien und anderen Objekten.

Richtlinien-Ersteller-Besitzer

Mitglieder dieser Gruppe können Gruppenrichtlinien in der Domäne ändern. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Da diese Gruppe erhebliche Zugriffsrechte in der Domäne besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen.

Keine Standardbenutzerrechte.

IIS_WPG (wird mit IIS installiert)

Die Gruppe IIS_WPG ist die IIS 6.0-Arbeitsprozessgruppe (Internet Information Services, Internetinformationsdienste). In IIS 6.0 gibt es Arbeitsprozesse für bestimmte Namespaces. Beispielsweise gibt es für den Namespace www.microsoft.com einen Arbeitsprozess, der unter einer zur Gruppe IIS_WPG hinzugefügten Identität ausgeführt werden kann, wie z. B. MicrosoftAccount. Diese Gruppe besitzt keine Standardmitglieder.

Keine Standardbenutzerrechte.

RAS- und IAS-Server

Server in dieser Gruppe haben Zugriff auf die RAS-Eigenschaften von Benutzern.

Keine Standardbenutzerrechte.

Schema-Admins (wird nur in der Gesamtstruktur-Stammdomäne angezeigt)

Mitglieder dieser Gruppe können das Active Directory-Schema ändern. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Da diese Gruppe erhebliche Zugriffsrechte in der Gesamtstruktur besitzt, sollten Sie beim Hinzufügen von Benutzern mit Bedacht vorgehen.

Keine Standardbenutzerrechte.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft