Active Directory – Default Groups

Active Directory (AD) jest usługą katalogową firmy Microsoft, używaną w sieciach Windows do zarządzania i organizowania użytkowników, komputerów i innych zasobów. W ramach Active Directory istnieje wiele domyślnych grup, które mają zdefiniowane role i zakresy działania. Oto szczegółowy opis najważniejszych domyślnych grup w Active Directory:

1. Domain Admins

  • Opis: Grupa ta ma pełne uprawnienia administracyjne w domenie.
  • Zakres działania:
    • Może tworzyć, modyfikować i usuwać konta użytkowników i komputerów.
    • Może zarządzać politykami grupowymi (Group Policy).
    • Ma pełne uprawnienia do wszystkich zasobów w domenie.
    • Może instalować oprogramowanie i aktualizacje na wszystkich komputerach w domenie.
  • Uwagi: Członkostwo w tej grupie powinno być ściśle kontrolowane ze względu na jej szerokie uprawnienia.

2. Enterprise Admins

  • Opis: Grupa ta ma pełne uprawnienia administracyjne w całym lesie Active Directory.
  • Zakres działania:
    • Może tworzyć, modyfikować i usuwać domeny w lesie.
    • Ma uprawnienia do zarządzania wszystkimi obiektami w lesie.
    • Może zmieniać topologię replikacji w lesie.
  • Uwagi: Podobnie jak w przypadku Domain Admins, członkostwo w tej grupie powinno być ściśle kontrolowane.

3. Schema Admins

  • Opis: Grupa ta ma uprawnienia do modyfikacji schematu Active Directory.
  • Zakres działania:
    • Może dodawać, usuwać lub zmieniać klasy obiektów i atrybuty w schemacie.
  • Uwagi: Zmiany w schemacie są trwałe i mogą mieć szeroki wpływ na działanie AD, dlatego członkostwo w tej grupie powinno być ograniczone do osób dobrze rozumiejących schemat AD.

4. Administrators

  • Opis: Grupa ta ma pełne uprawnienia administracyjne na kontrolerze domeny, na którym jest zdefiniowana.
  • Zakres działania:
    • Może zarządzać użytkownikami, grupami, zasobami i zasadami na kontrolerze domeny.
  • Uwagi: Uprawnienia tej grupy są ograniczone do kontrolera domeny, na którym są ustawione.

5. Server Operators

  • Opis: Grupa ta ma ograniczone uprawnienia administracyjne na kontrolerze domeny.
  • Zakres działania:
    • Może zarządzać usługami, tworzyć kopie zapasowe, restartować kontroler domeny.
    • Nie ma uprawnień do modyfikowania zasad zabezpieczeń i kont użytkowników.
  • Uwagi: Członkowie tej grupy mają mniej uprawnień niż członkowie grupy Administrators.

6. Account Operators

  • Opis: Grupa ta ma uprawnienia do zarządzania kontami użytkowników i grup w domenie.
  • Zakres działania:
    • Może tworzyć, modyfikować i usuwać konta użytkowników i grup.
    • Nie ma uprawnień do zarządzania kontami administratorów i do modyfikowania zasad grup.
  • Uwagi: Ta grupa jest używana do zarządzania kontami bez nadawania pełnych uprawnień administracyjnych.

7. Backup Operators

  • Opis: Grupa ta ma uprawnienia do wykonywania kopii zapasowych i przywracania danych na kontrolerze domeny.
  • Zakres działania:
    • Może wykonywać kopie zapasowe i przywracać pliki.
    • Może logować się lokalnie do kontrolerów domeny.
  • Uwagi: Grupa ta jest przeznaczona do zarządzania zadaniami związanymi z kopią zapasową.

8. Print Operators

  • Opis: Grupa ta ma uprawnienia do zarządzania drukarkami na kontrolerze domeny.
  • Zakres działania:
    • Może instalować, konfigurować i usuwać drukarki.
    • Może zarządzać kolejkami drukowania.
  • Uwagi: Grupa ta jest przeznaczona do zarządzania zasobami drukowania.

9. Users

  • Opis: Domyślna grupa dla wszystkich użytkowników w domenie.
  • Zakres działania:
    • Członkowie tej grupy mają podstawowe uprawnienia do logowania się do domeny i korzystania z zasobów zgodnie z politykami zabezpieczeń.

10. Guests

  • Opis: Domyślna grupa dla kont gości w domenie.
  • Zakres działania:
    • Członkowie tej grupy mają bardzo ograniczone uprawnienia.
    • Konto gościa jest zwykle używane tymczasowo.

11. Read-Only Domain Controllers (RODCs)

  • Opis: Grupa obejmująca wszystkie kontrolery domeny tylko do odczytu w domenie.
  • Zakres działania:
    • Kontrolery domeny tylko do odczytu mogą replikować dane z innych kontrolerów domeny, ale nie mogą wprowadzać zmian w katalogu.

12. Cert Publishers

  • Opis: Grupa ta ma uprawnienia do publikowania certyfikatów w Active Directory.
  • Zakres działania:
    • Członkowie tej grupy mogą zarządzać certyfikatami użytkowników i komputerów w domenie.

Podsumowanie

Powyższe grupy to tylko niektóre z domyślnych grup dostępnych w Active Directory. Każda z nich ma specyficzne role i zakresy działania, które są istotne dla zarządzania i zabezpieczania infrastruktury IT w organizacji. Ważne jest, aby przydzielać członkostwo w tych grupach ostrożnie i zgodnie z zasadami bezpieczeństwa.


Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT