Exportovat (0) Tisk
Rozbalit vše

Výchozí skupiny

Výchozí skupiny

Výchozí skupiny, například skupina Domain Admins, jsou skupiny zabezpečení vytvořené automaticky při vytváření domény služby Active Directory. Tyto předdefinované skupiny slouží k usnadnění řízení přístupu ke sdíleným prostředkům a k delegování konkrétních rolí správy pro celou doménu. Informace o výchozích skupinách uložených v místních počítačích najdete v tématu Výchozí místní skupiny.

K mnoha výchozím skupinám jsou automaticky přiřazovány sady uživatelských práv, které opravňují členy skupiny k provádění konkrétních akcí v doméně, například k přihlášení k místnímu systému nebo k zálohování souborů a složek. Například člen skupiny Backup Operators má oprávnění provádět záložní operace u všech řadičů domény v doméně.

Po přidání uživatele do skupiny obdrží tento uživatel všechna uživatelská práva přiřazená ke skupině a všechna oprávnění přiřazená ke skupině u libovolného sdíleného prostředku. Další informace o uživatelských právech a skupinách zabezpečení naleznete v tématu Typy skupin.

Skupiny můžete spravovat pomocí nástroje Uživatelé a počítače služby Active Directory. Výchozí skupiny jsou umístěny v kontejnerech Builtin a Users. Kontejner Builtin obsahuje skupiny definované s místním rozsahem domény. Kontejner Users obsahuje skupiny definované s globálním rozsahem a skupiny definované s místním rozsahem domény. Skupiny obsažené v těchto kontejnerech lze přesunout do jiných skupin nebo organizačních jednotek v rámci domény, ale nelze je přesunout do jiných domén.

Doporučeným postupem z hlediska zabezpečení je, aby členové výchozích skupin s přístupem k mnoha úlohám správy používali k provedení těchto úloh příkaz Spustit jako. Další informace získáte v tématu Používání příkazu Run as. Informace o doporučených postupech týkajících se zabezpečení najdete v tématu Doporučené postupy pro službu Active Directory. Informace o dalších bezpečnostních opatřeních, kterými lze zabezpečit adresář služby Active Directory, najdete v tématu Zabezpečení služby Active Directory.

Poznámka

  • Chcete-li zjistit skupinu, jejíž členem byste měli být při provádění určitého postupu, přejděte do okna Centrum pro nápovědu a odbornou pomoc k tématům popisujícím postupy, která tyto informace obsahují v poznámce.

Skupiny v kontejneru Builtin

V následující tabulce je uveden popis výchozích skupin obsažených v kontejneru Builtin a seznam uživatelských práv přiřazených jednotlivým skupinám. Vyčerpávající popis uživatelských práv uvedených v tabulce získáte v tématu Přidělení uživatelských práv. Informace o úpravách těchto práv naleznete v tématu Změna nastavení zabezpečení u objektu zásad skupiny.

 

Skupina Popis Výchozí uživatelská práva

Account Operators

Členové této skupiny mohou vytvářet, upravovat a odstraňovat účty uživatelů, skupin a počítačů umístěných v kontejnerech Users nebo Computers a v organizačních jednotkách v doméně, s výjimkou organizační jednotky Domain Controllers. Členové této skupiny nemají oprávnění upravovat skupiny Administrators nebo Domain Admins a nemají oprávnění ani k úpravám účtů členů těchto skupin. Členové této skupiny se mohou místně přihlásit k řadičům domény v doméně a vypnout je. Vzhledem k tomu, že tato skupina má v doméně rozsáhlá práva, přidávejte do ní členy po důkladném uvážení.

Povolení místního přihlášení, vypnutí systému

Administrators

Členové této skupiny mají oprávnění k úplnému řízení všech řadičů domény. Ve výchozím nastavení jsou členové skupin Domain Admins a Enterprise Admins členy skupiny Administrators. Účet správce je také výchozím členem. Vzhledem k tomu, že tato skupina má oprávnění k úplnému řízení domény, přidávejte do ní uživatele po důkladném zvážení.

Přístup k počítači ze sítě, upravení paměťových kvót pro daný proces, zálohování souborů a adresářů, vynechání kontroly procházení, změna systémového času, vytvoření stránkovacího souboru, ladění programů, povolení důvěryhodnosti uživatelských účtů a účtů počítačů pro delegování, vynucení vypnutí ze vzdáleného systému, zvýšení plánovací priority, načtení a zrušení načtení ovladačů zařízení, povolení místního přihlášení, správa protokolu auditu a zabezpečení, úprava proměnných prostředí firmwaru, profilování jediného procesu, profilování výkonu systému, odebrání počítače z dokovací stanice, obnovení souborů a adresářů, vypnutí systému a převzetí vlastnictví souborů či jiných objektů

Backup Operators

Členové této skupiny mohou zálohovat a obnovovat všechny soubory v řadičích domény v doméně bez ohledu na svá individuální oprávnění u těchto souborů. Skupina Backup Operators se také může přihlásit k řadičům domény a vypnout je. Ve výchozím nastavení nemá tato skupina žádné členy. Vzhledem k tomu, že tato skupina má rozsáhlá práva u řadičů domény, přidávejte do ní členy po důkladném uvážení.

Zálohování souborů a adresářů, povolení místního přihlášení, obnovení souborů a adresářů, vypnutí systému

Guests

Ve výchozím nastavení je skupina Domain Guests členem této skupiny. Účet Guest (ve výchozím nastavení zakázaný) je také výchozím členem této skupiny.

Žádná výchozí uživatelská práva

Incoming Forest Trust Builders (zobrazí se pouze v kořenové doméně doménové struktury)

Členové této skupiny mohou vytvářet příchozí jednosměrné vztahy důvěryhodnosti v kořenové doméně doménové struktury. Například členové této skupiny sídlící v doménové struktuře A mohou vytvářet jednosměrné příchozí vztahy důvěryhodnosti s doménovou strukturou B. Tyto jednosměrné příchozí vztahy důvěryhodnosti dovolují uživatelům v doménové struktuře A přistupovat k prostředkům, které jsou umístěné v doménové struktuře B. Členům této skupiny je přiděleno oprávnění k vytvoření příchozího vztahu důvěryhodnosti doménové struktury pro kořenovou doménu doménové struktury. Ve výchozím nastavení nemá tato skupina žádné členy. Další informace o vytváření vztahů důvěryhodnosti doménové struktury najdete v tématu Vytvoření vztahu důvěryhodnosti doménové struktury.

Žádná výchozí uživatelská práva

Network Configuration Operators

Členové této skupiny mohou měnit nastavení protokolu TCP/IP a obnovovat či uvolňovat adresy TCP/IP u řadičů domény v doméně. Ve výchozím nastavení nemá tato skupina žádné členy.

Žádná výchozí uživatelská práva

Performance Monitor Users

Členové této skupiny mohou z místního počítače nebo ze vzdálených klientů sledovat čítače výkonu na řadičích domény v doméně, přičemž nemusí patřit do skupiny Administrators nebo Performance Log Users.

Žádná výchozí uživatelská práva

Performance Log Users

Členové této skupiny mohou z místního počítače nebo ze vzdálených klientů spravovat v řadičích domény v doméně čítače výkonu, protokoly a výstrahy, přičemž nemusí patřit do skupiny Administrators.

Žádná výchozí uživatelská práva

Pre-Windows 2000 Compatible Access

Členové této skupiny mají oprávnění k přístupu pro čtení u všech uživatelů a skupin v doméně. Tato skupina je zpětně kompatibilní s počítači používajícími systém Windows NT 4.0 a starší. Ve výchozím nastavení je členem této skupiny zvláštní identita Everyone. Další informace o zvláštních identitách najdete v tématu Zvláštní identity. Do této skupiny přidejte uživatele, pouze pokud používají systém Windows NT 4.0 nebo starší.

Přístup k počítači ze sítě, vynechání kontroly procházení

Print Operators

Členové této skupiny mohou spravovat, vytvářet, sdílet a odstraňovat tiskárny připojené k řadičům domény v doméně. Mohou také spravovat objekty tiskárny služby Active Directory v doméně. Členové této skupiny se mohou místně přihlásit k řadičům domény v doméně a vypnout je. Ve výchozím nastavení nemá tato skupina žádné členy. Vzhledem k tomu, že členové této skupiny mohou načíst a zrušit načtení ovladačů zařízení u všech řadičů domény v doméně, přidávejte uživatele po důkladném zvážení.

Povolení místního přihlášení, vypnutí systému

Remote Desktop Users

Členové této skupiny se mohou vzdáleně přihlásit k řadičům domény v doméně. Ve výchozím nastavení nemá tato skupina žádné členy.

Žádná výchozí uživatelská práva

Replicator

Tato skupina podporuje funkce replikace adresáře a je používána Službou replikace souborů v řadičích domény v doméně. Ve výchozím nastavení nemá tato skupina žádné členy. Nepřidávejte k této skupině žádné uživatele.

Žádná výchozí uživatelská práva

Server Operators

Členové této skupiny se mohou interaktivně přihlásit k řadičům domény, vytvořit a odstranit sdílené prostředky, spustit a ukončit některé služby, zálohovat a obnovovat soubory, formátovat pevný disk a vypnout počítač. Ve výchozím nastavení nemá tato skupina žádné členy. Vzhledem k tomu, že tato skupina má u řadičů domény rozsáhlá práva, přidávejte uživatele po důkladném uvážení.

Zálohování souborů a adresářů, změna systémového času, vynucení vypnutí ze vzdáleného systému, povolení místního přihlášení, obnovení souborů a adresářů, vypnutí systému

Users

Členové této skupiny mohou provádět většinu běžných úkolů, například spouštět aplikace, používat místní a síťové tiskárny nebo zamykat server. Ve výchozím nastavení mezi členy této skupiny patří skupiny Domain Users, Authenticated Users a Interactive. Každý uživatelský účet vytvořený v dané doméně se tedy stane členem této skupiny.

Žádná výchozí uživatelská práva

Skupiny v kontejneru Users

V následující tabulce je uveden popis výchozích skupin obsažených v kontejneru Users a seznam uživatelských práv přiřazených k jednotlivým skupinám. Vyčerpávající popis uživatelských práv uvedených v tabulce získáte v tématu Přidělení uživatelských práv. Informace o úpravách těchto práv naleznete v tématu Změna nastavení zabezpečení u objektu zásad skupiny.

 

Skupina Popis Výchozí uživatelská práva

Cert Publishers

Členové této skupiny jsou oprávněni publikovat certifikáty pro uživatele a počítače. Ve výchozím nastavení nemá tato skupina žádné členy.

Žádná výchozí uživatelská práva

DnsAdmins (nainstalovaná se službou DNS)

Členové skupiny mají přístup ke správě služby DNS Server. Ve výchozím nastavení nemá tato skupina žádné členy.

Žádná výchozí uživatelská práva

DnsUpdateProxy (nainstalovaná se službou DNS)

Členy této skupiny jsou klienti služby DNS, kteří mohou provádět dynamické aktualizace jménem jiných klientů, například serverů DHCP. Ve výchozím nastavení nemá tato skupina žádné členy.

Žádná výchozí uživatelská práva

Domain Admins

Členové této skupiny mají oprávnění k úplnému řízení domény. Ve výchozím nastavení je tato skupina členem skupiny Administrators ve všech řadičích domény, všech pracovních stanicích domény a všech členských serverech domény v době, kdy jsou připojeny k doméně. Ve výchozím nastavení je účet správce členem této skupiny. Vzhledem k tomu, že tato skupina má oprávnění k úplnému řízení domény, přidávejte do ní uživatele po důkladném zvážení.

Přístup k počítači ze sítě, upravení paměťových kvót pro daný proces, zálohování souborů a adresářů, vynechání kontroly procházení, změna systémového času, vytvoření stránkovacího souboru, ladění programů, povolení důvěryhodnosti uživatelských účtů a účtů počítačů pro delegování, vynucení vypnutí ze vzdáleného systému, zvýšení plánovací priority, načtení a zrušení načtení ovladačů zařízení, povolení místního přihlášení, správa protokolu auditu a zabezpečení, úprava proměnných prostředí firmwaru, profilování jediného procesu, profilování výkonu systému, odebrání počítače z dokovací stanice, obnovení souborů a adresářů, vypnutí systému a převzetí vlastnictví souborů či jiných objektů

Domain Computers

Tato skupina obsahuje všechny pracovní stanice a servery připojené k doméně. Ve výchozím nastavení se každý vytvořený účet počítače automaticky stává členem této skupiny.

Žádná výchozí uživatelská práva

Domain Controllers

Tato skupina obsahuje všechny řadiče domény v doméně.

Žádná výchozí uživatelská práva

Domain Guests

Tato skupina obsahuje všechny hosty domény.

Žádná výchozí uživatelská práva

Domain Users

Tato skupina obsahuje všechny uživatele domény. Ve výchozím nastavení se každý vytvořený uživatelský účet v doméně automaticky stává členem této skupiny. Tato skupina může představovat všechny uživatele v doméně. Pokud například chcete, aby měli všichni uživatelé v doméně přístup k tiskárně, můžete přiřadit oprávnění pro tiskárnu k této skupině (nebo přidat skupinu Domain Users k místní skupině na tiskovém serveru, který má oprávnění pro tuto tiskárnu).

Žádná výchozí uživatelská práva

Enterprise Admins (zobrazí se pouze v kořenové doméně doménové struktury)

Členové této skupiny mají oprávnění k úplnému řízení všech domén v doménové struktuře. Ve výchozím nastavení je tato skupina členem skupiny Administrators ve všech řadičích domény v doménové struktuře. Ve výchozím nastavení je účet správce členem této skupiny. Vzhledem k tomu, že tato skupina má oprávnění k úplnému řízení doménové struktury, přidávejte do ní uživatele po důkladném zvážení.

Přístup k počítači ze sítě, upravení paměťových kvót pro daný proces, zálohování souborů a adresářů, vynechání kontroly procházení, změna systémového času, vytvoření stránkovacího souboru, ladění programů, povolení důvěryhodnosti uživatelských účtů a účtů počítačů pro delegování, vynucení vypnutí ze vzdáleného systému, zvýšení plánovací priority, načtení a zrušení načtení ovladačů zařízení, povolení místního přihlášení, správa protokolu auditu a zabezpečení, úprava proměnných prostředí firmwaru, profilování jediného procesu, profilování výkonu systému, odebrání počítače z dokovací stanice, obnovení souborů a adresářů, vypnutí systému a převzetí vlastnictví souborů či jiných objektů

Group Policy Creator Owners

Členové této skupiny mohou upravovat zásady skupiny v doméně. Ve výchozím nastavení je účet správce členem této skupiny. Vzhledem k tomu, že tato skupina má v doméně rozsáhlá práva, přidávejte do ní uživatele po důkladném zvážení.

Žádná výchozí uživatelská práva

IIS_WPG (nainstalovaná se službou IIS)

Skupina IIS_WPG je skupina pracovních procesů služby IIS 6.0. V rámci služby IIS 6.0 existují pracovní procesy, které slouží k obsluze specifických oborů názvů. Například www.microsoft.com je obor názvů obsluhovaný jedním pracovním procesem, který lze spustit pod identitou přidanou ke skupině IIS_WPG, například MicrosoftAccount. Ve výchozím nastavení nemá tato skupina žádné členy.

Žádná výchozí uživatelská práva

RAS and IAS Servers

Servery v této skupině mají povolený přístup k vlastnostem vzdáleného přístupu uživatelů.

Žádná výchozí uživatelská práva

Schema Admins (zobrazí se pouze v kořenové doméně doménové struktury)

Členové této skupiny mohou upravovat schéma adresáře služby Active Directory. Ve výchozím nastavení je účet správce členem této skupiny. Vzhledem k tomu, že tato skupina má v doménové struktuře rozsáhlá práva, přidávejte do ní členy po důkladném uvážení.

Žádná výchozí uživatelská práva

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Zobrazit:
© 2015 Microsoft