Annexe B : Comptes privilégiés et groupes dans Active Directory
Annexe B : Comptes privilégiés et groupes dans Active Directory
Les comptes et groupes « privilégiés » dans Active Directory sont ceux auxquels de puissants droits, privilèges et autorisations sont accordés pour leur permettre d’effectuer presque toutes les actions dans Active Directory et sur des systèmes joints à un domaine. Cette annexe commence par aborder les droits, privilèges et autorisations. Suivent les informations sur les comptes et groupes aux « privilèges les plus élevés » dans Active Directory, c’est-à-dire les comptes et groupes les plus puissants.
Des informations sont également fournies sur les comptes et groupes intégrés et par défaut dans Active Directory, en plus de leurs droits. Bien que des recommandations de configuration spécifiques pour sécuriser les comptes et les groupes aux privilèges les plus élevés soient fournies sous forme d’annexes distinctes, cette annexe fournit des informations générales qui vous aident à identifier les utilisateurs et les groupes sur lesquels vous devez concentrer la sécurisation. Ceci doit être fait, car ils peuvent être exploités par des attaquants pour compromettre et même détruire votre installation Active Directory.
Droits, privilèges et autorisations dans Active Directory
Les différences entre les droits, les autorisations et les privilèges peuvent être déroutantes et contradictoires, même dans la documentation de Microsoft. Cette section décrit certaines des caractéristiques de chacun d’eux, tels qu’ils sont utilisés dans ce document. Ces descriptions ne doivent pas être considérées comme faisant autorité pour d’autres documents Microsoft, car ces termes peuvent être utilisés différemment.
Droits et privilèges
Les droits et privilèges sont en fait les mêmes fonctionnalités à l’échelle du système que celles accordées aux principaux de sécurité tels que les utilisateurs, les services, les ordinateurs ou les groupes. Dans les interfaces généralement utilisées par les professionnels de l’informatique, ces derniers sont généralement appelés « droits » ou « droits d’utilisation », et ils sont souvent attribués par Objets de stratégie de groupe. La capture d’écran suivante montre certains des droits d’utilisation les plus courants qui peuvent être attribués aux principaux de sécurité (elle représente le GPO des Contrôleurs de domaine par défaut dans un domaine Windows Server 2012). Certains de ces droits s’appliquent à Active Directory, tels que le droit d'utilisation Autoriser l’ordinateur et les comptes d’utilisateur à être approuvés pour la délégation, tandis que d’autres droits s’appliquent au système d’exploitation Windows, tels que Modifier l’heure système.
Dans les interfaces telles que l’éditeur d’objets de stratégie de groupe, toutes ces fonctionnalités attribuables sont généralement appelées droits d’utilisation. Toutefois, en réalité certains droits d'utilisation sont appelés par programmation en tant que droits, tandis que d’autres sont appelés par programmation en tant que privilèges. Le Tableau B-1 : Droits et privilèges d’utilisation fournit certains des droits d'utilisation attribuables les plus courants et leurs constantes programmatiques. Bien que la stratégie de groupe et d’autres interfaces fassent référence à tous ces droits d’utilisation, certains sont identifiés par programmation en tant que droits, tandis que d’autres sont définis en tant que privilèges.
Pour plus d’informations sur chacun des droits d’utilisation répertoriés dans le tableau suivant, utilisez les liens du tableau ou consultez le Guide des menaces et contre-mesures : Droits d’utilisation dans le guide Atténuation des menaces et des vulnérabilités pour Windows Server 2008 R2 sur le site Microsoft TechNet. Pour plus d’informations sur Windows Server 2008, consultez Droits d’utilisation dans la documentation Atténuation des menaces et des vulnérabilités sur le site Microsoft TechNet. Au moment de la rédaction de ce document, la documentation correspondante pour Windows Server 2012 n’est pas encore publiée.
Remarque
Dans le cadre de ce document, les termes « droits » et « droits d’utilisation » sont utilisés pour identifier les droits et les privilèges, sauf indication contraire.
Tableau B-1 : Droits et privilèges d’utilisation
Autorisations
Les autorisations sont des contrôles d’accès appliqués aux objets sécurisables tels que le système de fichiers, le registre, le service et les objets Active Directory. Chaque objet sécurisable a une liste de contrôle d’accès (ACL) associée, qui contient des entrées de contrôle d’accès (ACE) qui accordent ou refusent aux principaux de sécurité (utilisateurs, services, ordinateurs ou groupes) la possibilité d’effectuer diverses opérations sur l’objet. Par exemple, les ACL pour de nombreux objets dans Active Directory contiennent des ACL qui permettent aux utilisateurs authentifiés de lire des informations générales sur les objets, mais ne leur accordent pas la possibilité de lire des informations sensibles ou de modifier les objets. À l’exception du compte invité intégré de chaque domaine, chaque principal de sécurité, qui se connecte et est authentifié par un contrôleur de domaine dans une forêt Active Directory ou une forêt approuvée, a l’identificateur de sécurité des utilisateurs authentifiés (SID) ajouté à son jeton d’accès par défaut. Par conséquent, si un compte d’utilisateur, de service ou d’ordinateur tente de lire des propriétés générales sur des objets utilisateurs dans un domaine, l’opération de lecture réussit.
Si un principal de sécurité tente d’accéder à un objet pour lequel aucun ACE n’est défini et qui contient un SID présent dans le jeton d’accès du principal, le principal ne peut pas accéder à l’objet. En outre, si un ACE dans l’ACL d’un objet contient une entrée de refus pour un SID qui correspond au jeton d’accès de l’utilisateur, l’ACE « deny » remplace généralement un ACE « allow » en conflit. Pour plus d’informations sur le contrôle d’accès dans Windows, consultez Access Control sur le site web MSDN.
Dans ce document, les autorisations font référence aux fonctionnalités accordées ou refusées aux principaux de sécurité sur des objets sécurisables. Chaque fois qu’il existe un conflit entre un droit d’utilisateur et une autorisation, le droit d’utilisateur est généralement prioritaire. Par exemple, si un objet dans Active Directory a été configuré avec une liste de contrôle d’accès qui refuse aux administrateurs tout accès en lecture et en écriture à un objet, un utilisateur membre du groupe Administrateurs du domaine n’est pas en mesure d’afficher beaucoup d’informations sur l’objet. Toutefois, étant donné que le groupe Administrateurs dispose du droit d’utilisateur « Se définir comme propriétaire des fichiers ou d’autres objets », l’utilisateur peut simplement prendre possession de l’objet en question, puis réécrire l’ACL de l’objet pour accorder aux administrateurs le contrôle total de l’objet.
C’est pour cette raison que ce document vous encourage à éviter d’utiliser des comptes et des groupes puissants pour l’administration quotidienne, plutôt que d’essayer de restreindre les fonctionnalités des comptes et des groupes. Il n’est pas possible d’empêcher efficacement un utilisateur déterminé qui a accès à des informations d’identification puissantes d’utiliser ces informations d’identification pour accéder à une ressource sécurisable.
Comptes et groupes privilégiés intégrés
Active Directory est destiné à faciliter la délégation de l’administration et le principe des privilèges minimum dans l’attribution de droits et d’autorisations. Les utilisateurs « courants » qui ont des comptes dans un domaine Active Directory sont, par défaut, en mesure de lire une grande partie de ce qui est stocké dans le répertoire, mais ne peuvent modifier qu’un ensemble très limité de données dans le répertoire. Les utilisateurs qui ont besoin de privilèges supplémentaires peuvent se voir accorder l’appartenance à différents groupes privilégiés intégrés au répertoire, afin de pouvoir effectuer des tâches spécifiques liées à leurs rôles, mais ils ne peuvent pas effectuer des tâches qui ne sont pas pertinentes à leurs fonctions.
Active Directory contient trois groupes intégrés, notamment les groupes de privilèges les plus élevés dans l’annuaire, ainsi qu’un quatrième groupe, le groupe Administrateurs de schémas (SA) :
- Administrateurs d’entreprise (EA)
- Administrateurs de domaine (DA)
- Administrateurs intégrés (BA)
- Administrateurs de schéma (SA)
Le groupe Administrateurs de schémas (SA) a des privilèges qui, en cas d’abus, peuvent endommager ou détruire une forêt Active Directory entière, mais ce groupe est plus limité dans ses fonctionnalités que les groupes EA, DA et BA.
En plus de ces quatre groupes, il existe un certain nombre de comptes et groupes intégrés et par défaut supplémentaires dans Active Directory, chacun disposant de droits et d’autorisations qui permettent d’effectuer des tâches d’administration spécifiques. Bien que cette annexe n’explore pas en profondeur chaque groupe intégré ou par défaut dans Active Directory, elle fournit un tableau des groupes et comptes que vous êtes le plus susceptible de voir dans vos installations.
Par exemple, si vous installez Microsoft Exchange Server dans une forêt Active Directory, des comptes et des groupes supplémentaires peuvent être créés dans les conteneurs Intégrés et Utilisateurs de vos domaines. Cette annexe décrit uniquement les groupes et les comptes créés dans les conteneurs Intégrés et Utilisateurs dans Active Directory, en fonction des fonctionnalités et des rôles natifs. Les comptes et les groupes créés par l’installation de logiciels d’entreprise ne sont pas inclus.
Administrateurs de l’entreprise
Le groupe Administrateurs d’entreprise (EA) se trouve dans le domaine racine de la forêt et, par défaut, c’est un membre du groupe Administrateurs intégré dans chaque domaine de la forêt. Le compte Administrateur intégré dans le domaine racine de la forêt est le seul membre par défaut du groupe EA. Les EA reçoivent des droits et des autorisations qui leur permettent d’affecter les modifications à l’échelle de la forêt. Il s’agit de modifications qui affectent tous les domaines de la forêt, telles que l’ajout ou la suppression de domaines, l’établissement d’approbations de forêt ou l’élévation des niveaux fonctionnels de la forêt. Dans un modèle de délégation correctement conçu et implémenté, l’appartenance à l’EA n’est requise que lors de la construction initiale de la forêt ou lors de certaines modifications à l’échelle de la forêt, telles que l’établissement d’une approbation de forêt sortante.
Le groupe EA se trouve par défaut dans le conteneur Utilisateurs du domaine racine de la forêt, et il s’agit d’un groupe de sécurité universel, sauf si le domaine racine de la forêt s’exécute en mode mixte Windows 2000 Server, auquel cas le groupe est un groupe de sécurité global. Bien que certains droits soient accordés directement au groupe EA, la plupart des droits de ce groupe sont en fait hérités par le groupe EA, car il est membre du groupe Administrateurs dans chaque domaine de la forêt. Les administrateurs d’entreprise n’ont aucun droit par défaut sur les stations de travail ou les serveurs membres.
Administrateurs du domaine
Chaque domaine d’une forêt a son propre groupe Administrateurs de domaine (DA), qui est membre du groupe Administrateurs intégré (BA) de ce domaine en plus d’un membre du groupe Administrateurs local sur chaque ordinateur joint au domaine. Le seul membre par défaut du groupe DA pour un domaine est le compte Administrateur intégré pour ce domaine.
Les DA sont toutes puissantes au sein de leurs domaines, tandis que les BA ont des privilèges à l’échelle de la forêt. Dans un modèle de délégation correctement conçu et implémenté, l’appartenance à la DA ne doit être requise que dans les scénarios de « verre de secours », qui sont des situations dans lesquelles un compte disposant de niveaux de privilèges élevés sur chaque ordinateur du domaine est nécessaire, ou lorsque certaines modifications à l’échelle du domaine doivent être apportées. Bien que les mécanismes de délégation Active Directory natifs autorisent la délégation dans la mesure où il est possible d’utiliser des comptes DA uniquement dans les scénarios d’urgence, la construction d’un modèle de délégation efficace peut prendre du temps et de nombreuses organisations utilisent des applications tierces, afin d’accélérer le processus.
Le groupe DA est un groupe de sécurité global situé dans le conteneur Utilisateurs pour le domaine. Il existe un groupe DA pour chaque domaine dans la forêt, et le seul membre par défaut d’un groupe DA est le compte Administrateur intégré du domaine. Étant donné que le groupe DA d’un domaine est imbriqué dans le groupe BA du domaine et dans chaque groupe Administrateurs locaux du système joint à un domaine, les administrateurs de domaine ont non seulement des autorisations qui sont spécifiquement accordées aux administrateurs de domaine, mais ils héritent également de tous les droits et autorisations accordés au groupe Administrateurs du domaine et au groupe Administrateurs locaux sur tous les systèmes joints au domaine.
Administrateurs
Le groupe Administrateurs intégré (BA) est un groupe local de domaine dans le conteneur intégré d’un domaine, dans lequel les DA et les EA sont imbriquées, et c’est ce groupe qui reçoit de nombreux droits et autorisations directs dans le répertoire et sur les contrôleurs de domaine. Toutefois, le groupe Administrateurs d’un domaine ne dispose pas de privilèges sur les serveurs membres ou sur les stations de travail. L’appartenance au groupe Administrateurs local des ordinateurs joints à un domaine est l’endroit où le privilège local est accordé ; et parmi les groupes décrits, seuls les DA sont membres de tous les groupes Administrateurs locaux de tous les ordinateurs joints à un domaine par défaut.
Le groupe Administrateurs est un groupe local de domaine dans le conteneur intégré du domaine. Par défaut, le groupe BA de chaque domaine contient le compte Administrateur intégré du domaine local, le groupe DA du domaine local et le groupe EA du domaine racine de forêt. De nombreux droits d’utilisateur dans Active Directory et sur les contrôleurs de domaine sont accordés spécifiquement au groupe Administrateurs, et non aux EA ou aux DA. Le groupe BA d’un domaine dispose d’autorisations de contrôle total sur la plupart des objets de répertoire et peut prendre possession des objets de répertoire. Bien que certaines autorisations spécifiques aux objets soient accordées aux groupes EA et DA dans la forêt et les domaines, la majeure partie de la puissance des groupes est en fait « héritée » de leur appartenance aux groupes BA.
Remarque
Bien qu’il s’agisse des configurations par défaut de ces groupes privilégiés, un membre de l’un des trois groupes peut manipuler le répertoire pour devenir membre de l’un des autres groupes. Dans certains cas, c’est une opération triviale, tandis que dans d’autres cas c’est plus difficile, mais du point de vue des privilèges potentiels, les trois groupes devraient être considérés comme effectivement équivalents.
Administrateurs du schéma
Le groupe Administrateurs de schéma (SA) est un groupe universel dans le domaine racine de la forêt et il n’a que le compte Administrateur intégré de ce domaine comme membre par défaut, comme le groupe EA. Bien que l’appartenance au groupe SA puisse permettre à un attaquant de compromettre le schéma Active Directory, qui est l’infrastructure de l’ensemble de la forêt Active Directory, les SA disposent de peu de droits et d’autorisations par défaut au-delà du schéma.
Vous devez gérer et surveiller l’appartenance au groupe SA avec attention, mais à certains égards, ce groupe est « moins privilégié » que les trois groupes les plus privilégiés décrits précédemment, car l’étendue de ses privilèges est très limitée ; autrement dit, les SA n’ont aucun droit d’administration autre que le schéma.
Groupes intégrés et par défaut supplémentaires dans Active Directory
Pour faciliter la délégation de l’administration dans le répertoire, Active Directory est fourni avec différents groupes intégrés et par défaut auxquels des droits et autorisations spécifiques ont été accordés. Ces groupes sont décrits brièvement dans le tableau suivant.
Le tableau suivant répertorie les groupes intégrés et par défaut dans Active Directory. Les deux ensembles de groupes existent par défaut ; toutefois, les groupes intégrés se trouvent (par défaut) dans le conteneur intégré dans Active Directory, tandis que les groupes par défaut se trouvent (par défaut) dans le conteneur Utilisateurs dans Active Directory. Les groupes dans le conteneur intégré sont tous des groupes locaux de domaine, tandis que les groupes dans le conteneur Utilisateurs sont un mélange de groupes locaux, globaux et universels de domaine, en plus de trois comptes d’utilisateurs individuels (Administrateur, Invité et Krbtgt).
Outre les groupes aux privilèges les plus élevés décrits plus haut dans cette annexe, certains comptes et groupes intégrés et par défaut bénéficient de privilèges élevés. Ils doivent également être protégés et utilisés uniquement sur des hôtes d’administration sécurisés. Ces groupes et comptes se trouvent dans les lignes ombrées du tableau B-1 : Groupes et comptes intégrés et par défaut dans Active Directory. Étant donné que certains de ces groupes et comptes bénéficient de droits et d’autorisations qui peuvent être utilisés à mauvais escient pour compromettre Active Directory ou des contrôleurs de domaine, ils bénéficient de protections supplémentaires, comme décrit dans l’Annexe C : Comptes et groupes protégés dans Active Directory.
Tableau B-1 : Comptes et groupes intégrés et par défaut dans Active Directory
| Compte ou groupe | Conteneur, étendue de groupe et type par défaut | Description et droits droit d'utilisation par défaut |
|---|---|---|
| Opérateurs d’assistance de contrôle d’accès (Active Directory dans Windows Server 2012) | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent interroger à distance les attributs d’autorisation et les autorisations des ressources sur cet ordinateur. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Opérateurs de compte | Conteneur intégré Groupe de sécurité local de domaine |
Les membres peuvent administrer des comptes d’utilisateur et de groupe de domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Compte d’administrateur | Conteneur d’utilisateurs Pas un groupe |
Compte intégré pour l’administration du domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Ajuster les quotas de mémoire pour un processus Permettre l’ouverture d’une session locale Autoriser l’ouverture de session par les services Bureau à distance Sauvegarder des fichiers et des répertoires Contourner la vérification de parcours Modifier l’heure système Changer le fuseau horaire Créer un fichier d’échange Créer des objets globaux Créer des liens symboliques Déboguer les programmes Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation Forcer l’arrêt à partir d’un système distant Emprunter l'identité d'un client après authentification Augmenter une plage de travail de processus Augmenter la priorité de planification Charger et décharger les pilotes de périphériques Ouvrir une session en tant que tâche Gérer le journal d'audit et de sécurité Modifier les valeurs de l’environnement du microprogramme Effectuer les tâches de maintenance de volume Processus unique du profil Performance système du profil Retirer l’ordinateur de la station d’accueil Restaurer des fichiers et des répertoires Arrêter le système Prendre possession de fichiers ou d’autres objets |
| Groupe d’administrateurs | Conteneur intégré Groupe de sécurité local de domaine |
Les administrateurs ont un accès total et illimité au domaine. Droits d’utilisation directs : Accéder à cet ordinateur à partir du réseau Ajuster les quotas de mémoire pour un processus Permettre l’ouverture d’une session locale Autoriser l’ouverture de session par les services Bureau à distance Sauvegarder des fichiers et des répertoires Contourner la vérification de parcours Modifier l’heure système Changer le fuseau horaire Créer un fichier d’échange Créer des objets globaux Créer des liens symboliques Déboguer les programmes Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation Forcer l’arrêt à partir d’un système distant Emprunter l'identité d'un client après authentification Augmenter la priorité de planification Charger et décharger les pilotes de périphériques Ouvrir une session en tant que tâche Gérer le journal d'audit et de sécurité Modifier les valeurs de l’environnement du microprogramme Effectuer les tâches de maintenance de volume Processus unique du profil Performance système du profil Retirer l’ordinateur de la station d’accueil Restaurer des fichiers et des répertoires Arrêter le système Prendre possession de fichiers ou d’autres objets Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Groupe de réplication dont le mot de passe RODC est autorisé | Conteneur d’utilisateurs Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent faire répliquer leurs mots de passe sur tous les contrôleurs de domaine en lecture seule dans le domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Opérateurs de sauvegarde | Conteneur intégré Groupe de sécurité local de domaine |
Les opérateurs de sauvegarde peuvent substituer des restrictions de sécurité dans le but unique de sauvegarder ou restaurer des fichiers. Droits d’utilisation directs : Permettre l’ouverture d’une session locale Sauvegarder des fichiers et des répertoires Ouvrir une session en tant que tâche Restaurer des fichiers et des répertoires Arrêter le système Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Éditeurs de certificats | Conteneur d’utilisateurs Groupe de sécurité local de domaine |
Les membres de ce groupe sont autorisés à publier des certificats dans le répertoire. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Accès DCOM au service de certificats | Conteneur intégré Groupe de sécurité local de domaine |
Si les services de certificats sont installés sur un contrôleur de domaine (non recommandé), ce groupe accorde l’accès d’inscription DCOM aux utilisateurs du domaine et aux ordinateurs de domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Contrôleurs de domaine clonables (AD DS dans Windows Server 2012AD DS) | Conteneur d’utilisateurs Groupe de sécurité global |
Les membres de ce groupe qui sont des contrôleurs de domaine peuvent être clonés. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Opérateurs de chiffrement | Conteneur intégré Groupe de sécurité local de domaine |
Les membres sont autorisés à réaliser des opérations de chiffrement. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs de débogueur | Il ne s’agit ni d’un groupe par défaut ni d’un groupe intégré, mais s’il est présent dans AD DS, il peut être examiné plus en détail. | La présence d’un groupe Utilisateurs de débogueur indique que les outils de débogage ont été installés sur le système à un moment donné, que ce soit via Visual Studio, SQL, Office ou d’autres applications qui nécessitent et prennent en charge un environnement de débogage. Ce groupe autorise l’accès au débogage à distance aux ordinateurs. Lorsque ce groupe existe au niveau du domaine, il indique qu’un débogueur ou une application qui contient un débogueur a été installé sur un contrôleur de domaine. |
| Groupe de réplication dont le mot de passe RODC est refusé | Conteneur d’utilisateurs Groupe de sécurité local de domaine |
Les membres de ce groupe ne peuvent pas faire répliquer leurs mots de passe sur n’importe quels contrôleurs de domaine en lecture seule dans le domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Administrateurs DHCP | Conteneur d’utilisateurs Groupe de sécurité local de domaine |
Les membres de ce groupe disposent d'un accès autorisant l'administration du service Serveur DHCP. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs DHCP | Conteneur d’utilisateurs Groupe de sécurité local de domaine |
Les membres de ce groupe disposent d'un accès en lecture seule au service Serveur DHCP. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs du modèle COM distribué | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe sont autorisés à lancer, activer et utiliser des objets COM distribués sur cet ordinateur. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| DnsAdmins | Conteneur d’utilisateurs Groupe de sécurité local de domaine |
Les membres de ce groupe disposent d'un accès autorisant l'administration du service Serveur DNS. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| DnsUpdateProxy | Conteneur d’utilisateurs Groupe de sécurité global |
Les membres de ce groupe sont des clients DNS qui sont autorisés à effectuer des mises à jour dynamiques pour le compte de clients qui ne peuvent pas eux-mêmes effectuer des mises à jour dynamiques. Les membres de ce groupe sont généralement des serveurs DHCP. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Administrateurs du domaine | Conteneur d’utilisateurs Groupe de sécurité global |
Administrateurs désignés du domaine ; Les Administrateurs de domaine sont membres du groupe Administrateurs locaux de chaque ordinateur joint à un domaine et reçoivent les droits et autorisations accordés au groupe Administrateurs locaux, en plus du groupe Administrateurs du domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Ajuster les quotas de mémoire pour un processus Permettre l’ouverture d’une session locale Autoriser l’ouverture de session par les services Bureau à distance Sauvegarder des fichiers et des répertoires Contourner la vérification de parcours Modifier l’heure système Changer le fuseau horaire Créer un fichier d’échange Créer des objets globaux Créer des liens symboliques Déboguer les programmes Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation Forcer l’arrêt à partir d’un système distant Emprunter l'identité d'un client après authentification Augmenter une plage de travail de processus Augmenter la priorité de planification Charger et décharger les pilotes de périphériques Ouvrir une session en tant que tâche Gérer le journal d'audit et de sécurité Modifier les valeurs de l’environnement du microprogramme Effectuer les tâches de maintenance de volume Processus unique du profil Performance système du profil Retirer l’ordinateur de la station d’accueil Restaurer des fichiers et des répertoires Arrêter le système Prendre possession de fichiers ou d’autres objets |
| Ordinateurs du domaine | Conteneur d’utilisateurs Groupe de sécurité global |
Toutes les stations de travail et tous les serveurs qui sont joints au domaine sont membres par défaut de ce groupe. Droits d’utilisation directs par défaut : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Contrôleurs de domaine | Conteneur d’utilisateurs Groupe de sécurité global |
Tous les contrôleurs dans le domaine. Remarque : les contrôleurs de domaine ne sont pas membres du groupe Ordinateurs de domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Invités du domaine | Conteneur d’utilisateurs Groupe de sécurité global |
Tous les invités dans le domaine Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs du domaine | Conteneur d’utilisateurs Groupe de sécurité global |
Tous les utilisateurs dans le domaine Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Administrateurs de l'entreprise (existe uniquement dans le domaine racine de forêt) | Conteneur d’utilisateurs Groupe de sécurité universel |
Les administrateurs d’entreprise disposent d’autorisations pour modifier les paramètres de configuration à l’échelle de la forêt ; les administrateurs d’entreprise sont membres du groupe Administrateurs de chaque domaine et reçoivent les droits et autorisations accordés à ce groupe. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Ajuster les quotas de mémoire pour un processus Permettre l’ouverture d’une session locale Autoriser l’ouverture de session par les services Bureau à distance Sauvegarder des fichiers et des répertoires Contourner la vérification de parcours Modifier l’heure système Changer le fuseau horaire Créer un fichier d’échange Créer des objets globaux Créer des liens symboliques Déboguer les programmes Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation Forcer l’arrêt à partir d’un système distant Emprunter l'identité d'un client après authentification Augmenter une plage de travail de processus Augmenter la priorité de planification Charger et décharger les pilotes de périphériques Ouvrir une session en tant que tâche Gérer le journal d'audit et de sécurité Modifier les valeurs de l’environnement du microprogramme Effectuer les tâches de maintenance de volume Processus unique du profil Performance système du profil Retirer l’ordinateur de la station d’accueil Restaurer des fichiers et des répertoires Arrêter le système Prendre possession de fichiers ou d’autres objets |
| Contrôleurs de domaine d’entreprise en lecture seule | Conteneur d’utilisateurs Groupe de sécurité universel |
Ce groupe contient les comptes de tous les contrôleurs de domaine en lecture seule dans la forêt. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Lecteurs des journaux d’événements | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent lire les journaux des événements des contrôleurs de domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Propriétaires créateurs de la stratégie de groupe | Conteneur d’utilisateurs Groupe de sécurité global |
Les membres de ce groupe peuvent créer et modifier les objets de stratégie de groupe dans le domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Invité | Conteneur d’utilisateurs Pas un groupe |
Il s’agit du seul compte d’un domaine AD DS auquel le SID Utilisateurs authentifiés n’est pas ajouté à son jeton d’accès. Par conséquent, les ressources configurées pour accorder l’accès au groupe Utilisateurs authentifiés ne seront pas accessibles à ce compte. Ce comportement n’est pas vrai pour les membres des groupes Invités et Invités de domaine, mais les membres de ces groupes ont le SID Utilisateurs authentifiés ajouté à leurs jetons d’accès. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Invités | Conteneur intégré Groupe de sécurité local de domaine |
Les invités ont le même accès que les membres du groupe Utilisateurs par défaut, à l’exception du compte Invité, qui est encore plus restreint comme décrit précédemment. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Administrateurs Hyper-V (Windows Server 2012) | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe disposent d’un accès complet et illimité à toutes les fonctionnalités d’Hyper-V. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| IIS_IUSRS | Conteneur intégré Groupe de sécurité local de domaine |
Groupe intégré utilisé par Internet Information Services. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Générateurs d'approbations de forêt entrante (existe uniquement dans le domaine racine de forêt) | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent créer des approbations à sens unique entrantes vers cette forêt. (La création d’approbations de forêt sortantes est réservée aux administrateurs d’entreprise.) Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Krbtgt | Conteneur d’utilisateurs Pas un groupe |
Le compte Krbtgt est le compte de service du Centre de distribution de clés Kerberos dans le domaine. Ce compte a accès aux informations d’identification de tous les comptes stockés dans Active Directory. Ce compte est désactivé par défaut et ne doit jamais être activé Droit d'utilisation : N/A |
| Opérateurs de configuration réseau | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe bénéficient de privilèges qui leur permettent de gérer la configuration des fonctionnalités réseau. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs du journal des performances | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent planifier la journalisation des compteurs de performances, activer les fournisseurs de traces et collecter des traces d’événements localement et via un accès à distance à l’ordinateur. Droits d’utilisation directs : Ouvrir une session en tant que tâche Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs de l’Analyseur de performances | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent accéder aux données du compteur de performances localement et à distance. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Accès compatible pré-Windows 2000 | Conteneur intégré Groupe de sécurité local de domaine |
Ce groupe existe à des fins de compatibilité descendante avec les systèmes d’exploitation antérieurs à Windows 2000 Server, et il permet aux membres de lire les informations sur l’utilisateur et le groupe dans le domaine. Droits d’utilisation directs : Accéder à cet ordinateur à partir du réseau Contourner la vérification de parcours Droits d’utilisation hérités : Ajouter des stations de travail au domaine Augmenter une plage de travail de processus |
| Opérateurs d'impression | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent administrer des imprimantes de domaine. Droits d’utilisation directs : Permettre l’ouverture d’une session locale Charger et décharger les pilotes de périphériques Arrêter le système Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Serveurs RAS et IAS | Conteneur d’utilisateurs Groupe de sécurité local de domaine |
Les serveurs de ce groupe peuvent lire les propriétés d’accès à distance sur les comptes d’utilisateur dans le domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Serveurs de points de terminaison RDS (Windows Server 2012) | Conteneur intégré Groupe de sécurité local de domaine |
Les serveurs de ce groupe exécutent des machines virtuelles et hébergent des sessions où les utilisateurs, les programmes RemoteApp et les bureaux virtuels personnels s’exécutent. Ce groupe doit être rempli sur des serveurs Broker pour les connexions Bureau à distance. Les serveurs hôtes de session Bureau à distance et les serveurs hôtes de virtualisation des services Bureau à distance utilisés dans le déploiement doivent être dans ce groupe. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Serveurs d’administration RDS (Windows Server 2012) | Conteneur intégré Groupe de sécurité local de domaine |
Les serveurs de ce groupe peuvent effectuer des actions administratives de routine sur les serveurs exécutant Services Bureau à distance. Ce groupe doit être rempli sur tous les serveurs d’un déploiement Services Bureau à distance. Les serveurs qui exécutent RDS Central Management doivent être inclus dans ce groupe. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Serveurs d’accès à distance RDS (Windows Server 2012) | Conteneur intégré Groupe de sécurité local de domaine |
Les serveurs de ce groupe permettent aux utilisateurs des programmes RemoteApp et aux bureaux virtuels personnels d’accéder à ces ressources. Dans les déploiements avec accès via Internet, ces serveurs sont généralement déployés dans un réseau de périmètre. Ce groupe doit être rempli sur des serveurs Broker pour les connexions Bureau à distance. Les serveurs Passerelle des services Bureaux à distance et les serveurs Accès Bureau à distance par le Web utilisés dans le déploiement doivent être dans ce groupe. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Contrôleurs de domaine en lecture seule | Conteneur d’utilisateurs Groupe de sécurité global |
Ce groupe contient tous les contrôleurs de domaine en lecture seule dans le domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs du Bureau à distance | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe ont le droit de se connecter à distance à l’aide de RDP. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs de gestion à distance (Windows Server 2012) | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent accéder aux ressources WMI via des protocoles de gestion (tels que WS-Management par le biais du service Windows Remote Management). Cela s’applique uniquement aux espaces de noms WMI qui accordent l’accès à l’utilisateur. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Duplicateur | Conteneur intégré Groupe de sécurité local de domaine |
Prend en charge la réplication de fichiers hérités dans un domaine. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Administrateurs de schéma (existe uniquement dans le domaine racine de forêt) | Conteneur d’utilisateurs Groupe de sécurité universel |
Les administrateurs de schéma sont les seuls utilisateurs qui peuvent apporter des modifications au schéma Active Directory, et uniquement si le schéma est activé en écriture. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Opérateurs de serveur | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent administrer des contrôleurs de domaine. Droits d’utilisation directs : Permettre l’ouverture d’une session locale Sauvegarder des fichiers et des répertoires Modifier l’heure système Changer le fuseau horaire Forcer l’arrêt à partir d’un système distant Restaurer des fichiers et des répertoires Arrêter le système Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Serveurs de licences des services Terminal Server | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent mettre à jour des comptes d’utilisateur dans Active Directory avec des informations sur l’émission de licences, à des fins de suivi et de création de rapports sur l’utilisation de la licence d’accès client par utilisateur TS Droits d’utilisation directs par défaut : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| Utilisateurs | Conteneur intégré Groupe de sécurité local de domaine |
Les utilisateurs disposent d’autorisations qui leur permettent de lire de nombreux objets et attributs dans Active Directory, même s’ils ne peuvent pas les modifier le plus souvent. Les utilisateurs ne peuvent pas apporter des modifications accidentelles ou intentionnelles à l’échelle du système et peuvent exécuter la plupart des applications. Droits d’utilisation directs : Augmenter une plage de travail de processus Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours |
| Groupe d’accès Windows Authorization | Conteneur intégré Groupe de sécurité local de domaine |
Les membres de ce groupe ont accès à l’attribut tokenGroupsGlobalAndUniversal sur les objets Utilisateur. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | Conteneur d’utilisateurs Groupe de sécurité local de domaine |
Les membres de ce groupe peuvent accéder aux ressources WMI via des protocoles de gestion (tels que WS-Management par le biais du service Windows Remote Management). Cela s’applique uniquement aux espaces de noms WMI qui accordent l’accès à l’utilisateur. Droits d’utilisation directs : Aucun Droits d’utilisation hérités : Accéder à cet ordinateur à partir du réseau Ajouter des stations de travail au domaine Contourner la vérification de parcours Augmenter une plage de travail de processus |