Exporter (0) Imprimer
Développer tout

Groupes par défaut

Mis à jour: janvier 2005

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Groupes par défaut

Les groupes par défaut (par exemple, Admins du domaine) sont des groupes de sécurité créés automatiquement lors de la création d'un domaine Active Directory. Vous pouvez utiliser ces groupes prédéfinis pour contrôler l'accès aux ressources partagées et déléguer des rôles d'administration au niveau du domaine. Pour plus d'informations sur les groupes par défaut stockés sur les ordinateurs locaux, consultez Groupes locaux par défaut.

De nombreux groupes par défaut sont automatiquement associés à un ensemble de droits d'utilisateur qui autorisent les membres du groupe à effectuer des actions précises dans un domaine, par exemple se connecter à un système local ou sauvegarder des fichiers et des dossiers. Ainsi, un membre du groupe Opérateurs de sauvegarde a le droit d'effectuer des opérations de sauvegarde pour tous les contrôleurs de domaine du domaine.

Lorsque vous ajoutez un utilisateur à un groupe, il reçoit tous les droits d'utilisateur assignés au groupe et toutes les autorisations assignées au groupe sur les ressources partagées. Pour plus d'informations sur les droits utilisateurs et les autorisations, consultez Types de groupes.

Vous pouvez gérer les groupes à l'aide d'Utilisateurs et ordinateurs Active Directory. Les groupes par défaut se trouvent dans les conteneurs Builtin et Utilisateurs. Le conteneur Builtin contient des groupes définis avec une étendue de domaine local. Le conteneur Utilisateurs contient des groupes définis avec une étendue globale et des groupes définis avec une étendue de domaine local. Vous pouvez déplacer les groupes situés dans ces conteneurs vers d'autres groupes ou unités d'organisation à l'intérieur du domaine, mais vous ne pouvez pas les déplacer vers d'autres domaines.

Les méthodes conseillées en matière de sécurité recommandent que les membres de groupes par défaut qui disposent d'un accès administratif étendu utilisent Exécuter en tant que pour accomplir des tâches d'administration. Pour plus d'informations, consultez Uilisation de Exécuter en tant que. Pour plus d'informations sur les méthodes conseillées en matière de sécurité, consultez Méthodes conseillées pour Active Directory. Pour plus d'informations sur les mesures de sécurité supplémentaires qui peuvent être utilisées pour protéger Active Directory, consultez Sécurisation de Active Directory.

Remarque

  • Pour savoir de quel groupe vous devez être membre afin d'effectuer une procédure particulière, de nombreuses rubriques de procédure des sections Comment du Centre d'aide et de support fournissent une remarque identifiant cette information.

Groupes du conteneur Builtin

Le tableau suivant décrit les groupes par défaut situés dans le conteneur Builtin et indique les droits d'utilisateur affectés à chaque groupe. Pour obtenir une description complète des droits d'utilisateur répertoriés dans le tableau, consultez Attribution des droits d'utilisateurs. Pour plus d'informations sur la modification de ces droits, consultez Modifier les paramètres de sécurité d'un objet de stratégie de groupe.

 

Groupe Description Droits d'utilisateur par défaut

Opérateurs de compte

Les membres de ce groupe peuvent créer, modifier et supprimer des comptes associés à des utilisateurs, des groupes et des ordinateurs situés dans les conteneurs Utilisateurs et Ordinateurs et dans les unités d'organisation du domaine, à l'exception de l'unité d'organisation Contrôleurs de domaine. Les membres de ce groupe ne sont pas autorisés à modifier les groupes Administrateurs et Admins du domaine ni les comptes des membres de ces groupes. Les membres de ce groupe peuvent ouvrir une session locale sur les contrôleurs du domaine et les arrêter. Ce groupe disposant d'un pouvoir étendu dans le domaine, il est conseillé d'y ajouter des utilisateurs avec précaution.

Permettre l'ouverture d'une session locale ; Arrêter le système.

Administrateurs

Les membres de ce groupe exercent un contrôle total sur tous les contrôleurs du domaine. Par défaut, les groupes Admins du domaine et Administrateurs de l'entreprise sont membres du groupe Administrateurs. Le compte Administrateur est également un membre par défaut. Ce groupe disposant d'un pouvoir total dans le domaine, il est conseillé d'y ajouter des utilisateurs avec précaution.

Accéder à cet ordinateur à partir du réseau ; Changer les quotas de mémoire d'un processus ; Sauvegarder des fichiers et des répertoires ; Outrepasser le contrôle de parcours ; Modifier l'heure du système ; Créer un fichier paginé ; Déboguer des programmes ; Permettre aux comptes d'ordinateurs et d'utilisateurs d'être approuvés pour la délégation ; Forcer l'arrêt à partir d'un système distant ; Augmenter la priorité de planification ; Charger et décharger les pilotes de périphérique ; Permettre l'ouverture d'une session locale ; Gérer le journal d'audit et de sécurité ; Modifier les valeurs d'environnement de microprogrammation ; Optimiser un processus ; Optimiser les performances système ; Retirer un ordinateur d'une station d'accueil ; Restaurer des fichiers et des répertoires ; Arrêter le système ; Prendre possession des fichiers ou d'autres objets.

Opérateurs de sauvegarde

Les membres de ce groupe peuvent sauvegarder et restaurer tous les fichiers des contrôleurs du domaine, quelles que soient les autorisations individuelles dont ils disposent sur ces fichiers. Les opérateurs de sauvegarde peuvent également ouvrir une session sur les contrôleurs de domaine et arrêter ces derniers. Ce groupe ne possède aucun membre par défaut. Ce groupe disposant d'un pouvoir étendu sur les contrôleurs de domaine, il est conseillé d'y ajouter des utilisateurs avec précaution.

Sauvegarder des fichiers et des répertoires ; Permettre l'ouverture d'une session locale ; Restaurer des fichiers et des répertoires ; Arrêter le système.

Invités

Par défaut, le groupe Invités du domaine est membre de ce groupe. Le compte Invité (qui est désactivé par défaut) est également un membre par défaut de ce groupe.

Aucun droit d'utilisateur par défaut.

Créateurs de confiance de forêt entrante (apparaît uniquement dans le domaine racine de la forêt)

Les membres de ce groupe peuvent créer des approbations de forêt unidirectionnelles entrantes pour le domaine racine de la forêt. Par exemple, les membres de ce groupe qui résident dans Forêt A peuvent créer une approbation de forêt unidirectionnelle entrante à partir de Forêt B. Cette approbation de forêt unidirectionnelle entrante permet aux utilisateurs de Forêt A d'accéder aux ressources de Forêt B. Les membres de ce groupe sont autorisés à créer une approbation entrante de forêt sur le domaine racine de la forêt. Ce groupe ne possède aucun membre par défaut. Pour plus d'informations sur la création d'approbations de forêt, consultez Créer une approbation de forêt.

Aucun droit d'utilisateur par défaut.

Opérateurs de configuration réseau

Les membres de ce groupe peuvent apporter des modifications aux paramètres TCP/IP et libérer ou renouveler des adresses TCP/IP sur les contrôleurs du domaine. Ce groupe ne possède aucun membre par défaut.

Aucun droit d'utilisateur par défaut.

Utilisateurs de l'Analyseur de performances

Les membres de ce groupe peuvent surveiller les compteurs de performance sur les contrôleurs du domaine, que ce soit localement ou à partir de clients distants, sans être membres du groupe Administrateurs ou Utilisateurs du journal de performance.

Aucun droit d'utilisateur par défaut.

Utilisateurs du journal de performance

Les membres de ce groupe peuvent gérer les compteurs de performance, les journaux et les alertes des contrôleurs du domaine, que ce soit localement ou à partir de clients distants, sans être membres du groupe Administrateurs.

Aucun droit d'utilisateur par défaut.

Accès compatible avec les versions antérieures à Windows 2000

Les membres de ce groupe ont accès en lecture à tous les utilisateurs et groupes du domaine. Ce groupe est fourni à des fins de compatibilité pour les ordinateurs qui exécutent Windows NT 4.0 ou des versions antérieures. Par défaut, l'identité spéciale Tout le monde fait partie de ce groupe. Pour plus d'informations sur les identités spéciales, consultez Identités spéciales. N'ajoutez des utilisateurs à ce groupe que s'ils exécutent Windows NT 4.0 ou une version antérieure.

Accéder à cet ordinateur à partir du réseau ; Ignorer le contrôle de parcours.

Opérateurs d'impression

Les membres de ce groupe peuvent gérer, créer, partager et supprimer des imprimantes connectées à des contrôleurs du domaine. Ils ont également le pouvoir de gérer les objets imprimante du domaine. Les membres de ce groupe peuvent ouvrir une session locale sur les contrôleurs du domaine et les arrêter. Ce groupe ne possède aucun membre par défaut. Dans la mesure où les membres de ce groupe peuvent charger et décharger des pilotes de périphérique sur tous les contrôleurs du domaine, vous devez les ajouter avec précaution.

Permettre l'ouverture d'une session locale ; Arrêter le système.

Utilisateurs du Bureau à distance

Les membres de ce groupe peuvent ouvrir une session à distance sur les contrôleurs du domaine Ce groupe ne possède aucun membre par défaut.

Aucun droit d'utilisateur par défaut.

Réplicateur

Ce groupe prend en charge les fonctions de réplication d'annuaire ; le service de réplication de fichiers l'utilise sur les contrôleurs du domaine. Ce groupe ne possède aucun membre par défaut. N'ajoutez pas d'utilisateurs à ce groupe.

Aucun droit d'utilisateur par défaut.

Opérateurs de serveur

Sur les contrôleurs de domaine, les membres de ce groupe peuvent ouvrir une session de manière interactive, créer et supprimer des ressources partagées, sauvegarder et restaurer des fichiers, formater le disque dur et arrêter l'ordinateur. Ce groupe ne possède aucun membre par défaut. Ce groupe disposant d'un pouvoir étendu sur les contrôleurs de domaine, il est conseillé d'y ajouter des utilisateurs avec précaution.

Sauvegarder des fichiers et des répertoires ; Modifier l'heure du système ; Forcer l'arrêt à partir d'un système distant ; Permettre l'ouverture d'une session locale ; Restaurer des fichiers et des répertoires ; Arrêter le système.

Utilisateurs

Les membres de ce groupe peuvent effectuer la plupart des tâches courantes : exécuter des applications, utiliser les imprimantes locales ou du réseau et verrouiller le serveur. Par défaut, les groupes Utilisateurs du domaine, Utilisateurs authentifiés et Interactif sont membres de ce groupe. Par conséquent, tout compte d'utilisateur créé dans le domaine devient membre de ce groupe.

Aucun droit d'utilisateur par défaut.

Groupes du conteneur Utilisateurs

Le tableau suivant décrit les groupes par défaut situés dans le conteneur Utilisateurs et indique les droits d'utilisateur affectés à chaque groupe. Pour obtenir une description complète des droits d'utilisateur répertoriés dans le tableau, consultez Attribution des droits d'utilisateurs. Pour plus d'informations sur la modification de ces droits, consultez Modifier les paramètres de sécurité d'un objet de stratégie de groupe.

 

Groupe Description Droits d'utilisateur par défaut

Éditeurs de certificats

Les membres de ce groupe sont autorisés à publier des certificats pour des utilisateurs et des ordinateurs. Ce groupe ne possède aucun membre par défaut.

Aucun droit d'utilisateur par défaut.

DnsAdmins (installé avec DNS)

Les membres de ce groupe disposent d'un accès administratif au service Serveur DHCP. Ce groupe ne possède aucun membre par défaut.

Aucun droit d'utilisateur par défaut.

DnsUpdateProxy (installé avec DNS)

Les membres de ce groupe sont des clients DNS qui effectuent des mises à jour dynamiques pour le compte d'autres clients, notamment des serveurs DHCP. Ce groupe ne possède aucun membre par défaut.

Aucun droit d'utilisateur par défaut.

Admins du domaine

Les membres de ce groupe exercent un contrôle total sur le domaine. Par défaut, ce groupe est membre du groupe Administrateurs sur tous les contrôleurs du domaine, toutes les stations de travail du domaine et tous les serveurs membres du domaine au moment où ils sont attachés au domaine. Par défaut, le compte Administrateur fait partie de ce groupe. Ce groupe disposant d'un pouvoir total dans le domaine, il est conseillé d'y ajouter des utilisateurs avec précaution.

Accéder à cet ordinateur à partir du réseau ; Changer les quotas de mémoire d'un processus ; Sauvegarder des fichiers et des répertoires ; Outrepasser le contrôle de parcours ; Modifier l'heure du système ; Créer un fichier paginé ; Déboguer des programmes ; Permettre aux comptes d'ordinateurs et d'utilisateurs d'être approuvés pour la délégation ; Forcer l'arrêt à partir d'un système distant ; Augmenter la priorité de planification ; Charger et décharger les pilotes de périphérique ; Permettre l'ouverture d'une session locale ; Gérer le journal d'audit et de sécurité ; Modifier les valeurs d'environnement de microprogrammation ; Optimiser un processus ; Optimiser les performances système ; Retirer un ordinateur d'une station d'accueil ; Restaurer des fichiers et des répertoires ; Arrêter le système ; Prendre possession des fichiers ou d'autres objets.

Ordinateurs du domaine

Ce groupe contient toutes les stations de travail et les serveurs attachés au domaine. Par défaut, tout compte d'ordinateur créé devient automatiquement membre de ce groupe.

Aucun droit d'utilisateur par défaut.

Contrôleurs de domaine

Ce groupe contient tous les contrôleurs de domaine du domaine considéré.

Aucun droit d'utilisateur par défaut.

Invités du domaine

Ce groupe contient tous les invités du domaine.

Aucun droit d'utilisateur par défaut.

Utilisateurs du domaine

Ce groupe contient tous les utilisateurs du domaine. Par défaut, tout compte d'utilisateur créé dans le domaine devient automatiquement membre de ce groupe. Ce groupe peut être utilisé pour représenter tous les utilisateurs du domaine. Par exemple, si vous souhaitez que tous les utilisateurs du domaine puissent accéder à une imprimante spécifique, vous pouvez assigner des autorisations au groupe Utilisateurs du domaine (ou placer le groupe Utilisateurs du domaine dans un groupe local, sur le serveur d'impression, qui possède des autorisations pour cette imprimante).

Aucun droit d'utilisateur par défaut.

Administrateurs de l'entreprise (apparaît uniquement dans le domaine racine de la forêt)

Les membres de ce groupe exercent un contrôle total sur tous les domaines de la forêt. Par défaut, ce groupe est membre du groupe Administrateurs sur tous les contrôleurs de domaine de la forêt. Par défaut, le compte Administrateur fait partie de ce groupe. Ce groupe disposant du contrôle total de la forêt, il est conseillé d'y ajouter des utilisateurs avec précaution.

Accéder à cet ordinateur à partir du réseau ; Changer les quotas de mémoire d'un processus ; Sauvegarder des fichiers et des répertoires ; Outrepasser le contrôle de parcours ; Modifier l'heure du système ; Créer un fichier paginé ; Déboguer des programmes ; Permettre aux comptes d'ordinateurs et d'utilisateurs d'être approuvés pour la délégation ; Forcer l'arrêt à partir d'un système distant ; Augmenter la priorité de planification ; Charger et décharger les pilotes de périphérique ; Permettre l'ouverture d'une session locale ; Gérer le journal d'audit et de sécurité ; Modifier les valeurs d'environnement de microprogrammation ; Optimiser un processus ; Optimiser les performances système ; Retirer un ordinateur d'une station d'accueil ; Restaurer des fichiers et des répertoires ; Arrêter le système ; Prendre possession des fichiers ou d'autres objets.

Propriétaires créateurs de la stratégie de groupe

Les membres de ce groupe peuvent modifier la Stratégie de groupe du domaine. Par défaut, le compte Administrateur fait partie de ce groupe. Ce groupe disposant d'un pouvoir étendu dans le domaine, il est conseillé d'y ajouter des utilisateurs avec précaution.

Aucun droit d'utilisateur par défaut.

IIS_WPG (installé avec IIS)

Le groupe IIS_WPG est le groupe des processus de travail des services Internet (IIS) 6.0. Les services Internet IIS 6.0 engendrent des processus de travail qui desservent des espaces de noms spécifiques. Par exemple, www.microsoft.com est un espace de noms desservi par un processus de travail particulier qui peut s'exécuter sous une identité ajoutée au groupe IIS_WPG, par exemple MicrosoftAccount. Ce groupe ne possède aucun membre par défaut.

Aucun droit d'utilisateur par défaut.

Serveurs RAS et IAS

Les serveurs de ce groupe ont accès aux propriétés d'accès distant des utilisateurs.

Aucun droit d'utilisateur par défaut.

Administrateurs du schéma (apparaît uniquement dans le domaine racine de la forêt)

Les membres de ce groupe peuvent modifier le schéma Active Directory. Par défaut, le compte Administrateur fait partie de ce groupe. Ce groupe disposant d'un pouvoir étendu dans la forêt, il est conseillé d'y ajouter des utilisateurs avec précaution.

Aucun droit d'utilisateur par défaut.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft