Le tableau suivant décrit les groupes par défaut situés dans le conteneur Builtin et indique les droits d'utilisateur affectés à chaque groupe. Pour obtenir une description complète des droits d'utilisateur répertoriés dans le tableau, consultez Attribution des droits d'utilisateurs. Pour plus d'informations sur la modification de ces droits, consultez Modifier les paramètres de sécurité d'un objet de stratégie de groupe.
|
Groupe
|
Description
|
Droits d'utilisateur par défaut
|
|---|
Opérateurs de compte | Les membres de ce groupe peuvent créer, modifier et supprimer des comptes associés à des utilisateurs, des groupes et des ordinateurs situés dans les conteneurs Utilisateurs et Ordinateurs et dans les unités d'organisation du domaine, à l'exception de l'unité d'organisation Contrôleurs de domaine. Les membres de ce groupe ne sont pas autorisés à modifier les groupes Administrateurs et Admins du domaine ni les comptes des membres de ces groupes. Les membres de ce groupe peuvent ouvrir une session locale sur les contrôleurs du domaine et les arrêter. Ce groupe disposant d'un pouvoir étendu dans le domaine, il est conseillé d'y ajouter des utilisateurs avec précaution. | Permettre l'ouverture d'une session locale ; Arrêter le système. |
Administrateurs | Les membres de ce groupe exercent un contrôle total sur tous les contrôleurs du domaine. Par défaut, les groupes Admins du domaine et Administrateurs de l'entreprise sont membres du groupe Administrateurs. Le compte Administrateur est également un membre par défaut. Ce groupe disposant d'un pouvoir total dans le domaine, il est conseillé d'y ajouter des utilisateurs avec précaution. | Accéder à cet ordinateur à partir du réseau ; Changer les quotas de mémoire d'un processus ; Sauvegarder des fichiers et des répertoires ; Outrepasser le contrôle de parcours ; Modifier l'heure du système ; Créer un fichier paginé ; Déboguer des programmes ; Permettre aux comptes d'ordinateurs et d'utilisateurs d'être approuvés pour la délégation ; Forcer l'arrêt à partir d'un système distant ; Augmenter la priorité de planification ; Charger et décharger les pilotes de périphérique ; Permettre l'ouverture d'une session locale ; Gérer le journal d'audit et de sécurité ; Modifier les valeurs d'environnement de microprogrammation ; Optimiser un processus ; Optimiser les performances système ; Retirer un ordinateur d'une station d'accueil ; Restaurer des fichiers et des répertoires ; Arrêter le système ; Prendre possession des fichiers ou d'autres objets. |
Opérateurs de sauvegarde | Les membres de ce groupe peuvent sauvegarder et restaurer tous les fichiers des contrôleurs du domaine, quelles que soient les autorisations individuelles dont ils disposent sur ces fichiers. Les opérateurs de sauvegarde peuvent également ouvrir une session sur les contrôleurs de domaine et arrêter ces derniers. Ce groupe ne possède aucun membre par défaut. Ce groupe disposant d'un pouvoir étendu sur les contrôleurs de domaine, il est conseillé d'y ajouter des utilisateurs avec précaution. | Sauvegarder des fichiers et des répertoires ; Permettre l'ouverture d'une session locale ; Restaurer des fichiers et des répertoires ; Arrêter le système. |
Invités | Par défaut, le groupe Invités du domaine est membre de ce groupe. Le compte Invité (qui est désactivé par défaut) est également un membre par défaut de ce groupe. | Aucun droit d'utilisateur par défaut. |
Créateurs de confiance de forêt entrante (apparaît uniquement dans le domaine racine de la forêt) | Les membres de ce groupe peuvent créer des approbations de forêt unidirectionnelles entrantes pour le domaine racine de la forêt. Par exemple, les membres de ce groupe qui résident dans Forêt A peuvent créer une approbation de forêt unidirectionnelle entrante à partir de Forêt B. Cette approbation de forêt unidirectionnelle entrante permet aux utilisateurs de Forêt A d'accéder aux ressources de Forêt B. Les membres de ce groupe sont autorisés à créer une approbation entrante de forêt sur le domaine racine de la forêt. Ce groupe ne possède aucun membre par défaut. Pour plus d'informations sur la création d'approbations de forêt, consultez Créer une approbation de forêt. | Aucun droit d'utilisateur par défaut. |
Opérateurs de configuration réseau | Les membres de ce groupe peuvent apporter des modifications aux paramètres TCP/IP et libérer ou renouveler des adresses TCP/IP sur les contrôleurs du domaine. Ce groupe ne possède aucun membre par défaut. | Aucun droit d'utilisateur par défaut. |
Utilisateurs de l'Analyseur de performances | Les membres de ce groupe peuvent surveiller les compteurs de performance sur les contrôleurs du domaine, que ce soit localement ou à partir de clients distants, sans être membres du groupe Administrateurs ou Utilisateurs du journal de performance. | Aucun droit d'utilisateur par défaut. |
Utilisateurs du journal de performance | Les membres de ce groupe peuvent gérer les compteurs de performance, les journaux et les alertes des contrôleurs du domaine, que ce soit localement ou à partir de clients distants, sans être membres du groupe Administrateurs. | Aucun droit d'utilisateur par défaut. |
Accès compatible avec les versions antérieures à Windows 2000 | Les membres de ce groupe ont accès en lecture à tous les utilisateurs et groupes du domaine. Ce groupe est fourni à des fins de compatibilité pour les ordinateurs qui exécutent Windows NT 4.0 ou des versions antérieures. Par défaut, l'identité spéciale Tout le monde fait partie de ce groupe. Pour plus d'informations sur les identités spéciales, consultez Identités spéciales. N'ajoutez des utilisateurs à ce groupe que s'ils exécutent Windows NT 4.0 ou une version antérieure. | Accéder à cet ordinateur à partir du réseau ; Ignorer le contrôle de parcours. |
Opérateurs d'impression | Les membres de ce groupe peuvent gérer, créer, partager et supprimer des imprimantes connectées à des contrôleurs du domaine. Ils ont également le pouvoir de gérer les objets imprimante du domaine. Les membres de ce groupe peuvent ouvrir une session locale sur les contrôleurs du domaine et les arrêter. Ce groupe ne possède aucun membre par défaut. Dans la mesure où les membres de ce groupe peuvent charger et décharger des pilotes de périphérique sur tous les contrôleurs du domaine, vous devez les ajouter avec précaution. | Permettre l'ouverture d'une session locale ; Arrêter le système. |
Utilisateurs du Bureau à distance | Les membres de ce groupe peuvent ouvrir une session à distance sur les contrôleurs du domaine Ce groupe ne possède aucun membre par défaut. | Aucun droit d'utilisateur par défaut. |
Réplicateur | Ce groupe prend en charge les fonctions de réplication d'annuaire ; le service de réplication de fichiers l'utilise sur les contrôleurs du domaine. Ce groupe ne possède aucun membre par défaut. N'ajoutez pas d'utilisateurs à ce groupe. | Aucun droit d'utilisateur par défaut. |
Opérateurs de serveur | Sur les contrôleurs de domaine, les membres de ce groupe peuvent ouvrir une session de manière interactive, créer et supprimer des ressources partagées, sauvegarder et restaurer des fichiers, formater le disque dur et arrêter l'ordinateur. Ce groupe ne possède aucun membre par défaut. Ce groupe disposant d'un pouvoir étendu sur les contrôleurs de domaine, il est conseillé d'y ajouter des utilisateurs avec précaution. | Sauvegarder des fichiers et des répertoires ; Modifier l'heure du système ; Forcer l'arrêt à partir d'un système distant ; Permettre l'ouverture d'une session locale ; Restaurer des fichiers et des répertoires ; Arrêter le système. |
Utilisateurs | Les membres de ce groupe peuvent effectuer la plupart des tâches courantes : exécuter des applications, utiliser les imprimantes locales ou du réseau et verrouiller le serveur. Par défaut, les groupes Utilisateurs du domaine, Utilisateurs authentifiés et Interactif sont membres de ce groupe. Par conséquent, tout compte d'utilisateur créé dans le domaine devient membre de ce groupe. | Aucun droit d'utilisateur par défaut. |