что такое локальная группа
Группы пользователей в Windows — локальные пользователи и группы
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Создание группы в Windows.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.
Функции локальной группы
Локальная группа может содержать учетные записи пользователей или глобальные группы из одного или нескольких доменов. (Глобальные группы могут содержать пользователей только из одного домена.) Локальная группа использует общие привилегии и права только в своем собственном домене.
Локальная группа управления сетью управляет членами локальных групп таким образом, что функции могут вызываться только локально в системе, в которой определена локальная группа. На рабочей станции или на сервере, который не является контроллером домена, можно использовать только локальную группу, определенную в этой системе.
В Active Directory домены, которые находятся в основном режиме, называются локальными группами домена. Локальные группы домена доступны на всех контроллерах домена, рядовых серверах и рабочих станциях, присоединенных к домену. Active Directory домены в смешанном режиме определяются на основном контроллере домена и реплицируются на все остальные контроллеры домена в домене. Поэтому локальная группа доступна на всех контроллерах домена в домене, в котором он был создан.
Функции локальной группы создают или удаляют локальные группы, а также просматривают или изменяют членство локальных групп. Эти функции перечислены ниже.
| Функция | Описание |
|---|---|
| нетлокалграупадд | Создает локальную группу. |
| нетлокалграупаддмемберс | Добавляет одного или нескольких пользователей или глобальные группы в существующую локальную группу. |
| нетлокалграупдел | Удаляет локальную группу, удаляя все существующие члены группы. |
| нетлокалграупделмемберс | Удаляет один или несколько членов из существующей локальной группы. |
| нетлокалграупенум | Возвращает сведения о каждой учетной записи локальной группы на сервере. |
| нетлокалграупжетинфо | Возвращает сведения об определенной учетной записи локальной группы на сервере. |
| нетлокалграупжетмемберс | Список всех членов указанной локальной группы. |
| нетлокалграупсетинфо | Задает общие сведения о локальной группе. |
| нетлокалграупсетмемберс | Назначает члены локальной группе. |
При создании локальной группы путем вызова функции нетлокалграупадд необходимо указать имя локальной группы. Изначально локальная группа не имеет членов.
Сведения об учетной записи локальной группы доступны на следующих уровнях:
Сведения о членстве в локальной группе доступны на следующих уровнях информации:
Дополнительные сведения см. в разделе функции группыуправления сетью.
При программировании для Active Directory можно вызвать определенные методы интерфейса Active Directory (ADSI) для достижения тех же функций, которые можно достичь, вызвав функции локальной группы управления сетью. Дополнительные сведения см. в разделе иадсграуп.
Управление группами и организационными единицами
В этой лекции описывается действие групп и организационных единиц, а также их использование для администрирования и защиты вашего предприятия.
Группы Windows Server 2003
Группы безопасности для доменов можно классифицировать по типу и области действия, например, domain local (локальные в домене), global (глобальные) и universal (универсальные), и в данной лекции будут описаны эти отличия.
Локальные группы
Кроме этой вставки, я не буду тратить время на описание групп рассылки в этой лекции (и в этом курсе). Группа рассылки используется исключительно для рассылки электронной почты, и только такими приложениями электронной почты, как Microsoft Exchange Server. Группа рассылки не имеет никакого отношения к безопасности, и на нее не может быть никаких ссылок в дискреционных списках управления доступом ( DACL ), когда вы задаете полномочия по ресурсам.
Вы можете включать членов в используемые по умолчанию группы безопасности. Вы можете также создавать новые локальные группы для данного компьютера, если хотите предоставить определенной группе пользователей определенные права на выполнение задач, которые не охватываются группой по умолчанию.
Помните, что локальные группы используются, чтобы предоставлять их членам права на выполнение действий на локальном компьютере. В большинстве случаев ваш компьютер Windows Server 2003 исполняет определенную роль в домене, и обычно на таком компьютере не задают сложный набор пользователей и групп для работы с данным компьютером.
Помните также, что группы предназначены для того, чтобы ограничивать действия пользователей на сервере, а не предоставлять право на выполнение операций. Большинство локальных групп не содержит членов, но это не означает, что никто не сможет выполнять задачи, разрешаемые членством в этих группах, а просто значит, что нет пользователей, права которых ограничены этой группой. Члены групп с более широкими правами (например, Administrators) уже имеют право на выполнение таких задач.
Локальные группы по умолчанию
Вы можете видеть группы по умолчанию в папке Groups в оснастке MMC Local Users and Groups (Локальные пользователи и группы), см. рис. 11.1. Чтобы открыть эту оснастку, щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Manage (Управление). Затем раскройте в дереве консоли объект Local Users and Groups и выберите объект Groups.
Следующие локальные группы имеются на рядовом сервере, работающем под управлением Windows Server 2003.
Добавление членов в локальные группы
Вы можете добавлять объекты в любую группу. Этими объектами могут быть локальные пользователи, доменные пользователи или даже другие локальные или доменные группы. Для добавления членов в группу выполните следующие шаги.
При непосредственном вводе имен щелкните на кнопке Check Names (Проверка имен), чтобы убедиться в правильности их ввода. Вы можете вводить имена входа пользователей, и система преобразует их в полностью уточненные доменные имена ( FQDN ).
По окончании добавления членов щелкните на кнопке OK. Появится список членов группы в ее собственном диалоговом окне Properties (см. рис. 11.2).
Создание локальных групп
Если вы используете свой компьютер Windows Server 2003 для какой-то специальной функции или приложения, то вам может потребоваться активизация специальных полномочий для выполнения соответствующих задач. Обычно имеет смысл создать группу для этих задач и включить в нее соответствующих членов. Для большинства ролей, которые вы можете назначить компьютеру, система автоматически создает группу для администрирования соответствующей роли. Например, если вы делаете компьютер сервером DHCP, то на компьютере добавляются соответствующие группы.
Чтобы создать новую группу, откройте оснастку Computer Management, используя шаги, описанные в предыдущем разделе. Щелкните правой кнопкой на контейнере Groups и выберите в контекстном меню пункт New Group. В диалоговом окне New Group введите имя и описание и затем щелкните на кнопке Add, чтобы включить членов в эту группу.
Щелкните на кнопке Create (Создать), чтобы добавить эту группу на данном компьютере. Появится новое пустое диалоговое окно New Group, чтобы вы могли создать еще одну группу. Закончив создание локальных групп, щелкните на кнопке Close (Закрыть).
Управление группами и организационными единицами
В этой лекции описывается действие групп и организационных единиц, а также их использование для администрирования и защиты вашего предприятия.
Группы Windows Server 2003
Группы безопасности для доменов можно классифицировать по типу и области действия, например, domain local (локальные в домене), global (глобальные) и universal (универсальные), и в данной лекции будут описаны эти отличия.
Локальные группы
Кроме этой вставки, я не буду тратить время на описание групп рассылки в этой лекции (и в этом курсе). Группа рассылки используется исключительно для рассылки электронной почты, и только такими приложениями электронной почты, как Microsoft Exchange Server. Группа рассылки не имеет никакого отношения к безопасности, и на нее не может быть никаких ссылок в дискреционных списках управления доступом ( DACL ), когда вы задаете полномочия по ресурсам.
Вы можете включать членов в используемые по умолчанию группы безопасности. Вы можете также создавать новые локальные группы для данного компьютера, если хотите предоставить определенной группе пользователей определенные права на выполнение задач, которые не охватываются группой по умолчанию.
Помните, что локальные группы используются, чтобы предоставлять их членам права на выполнение действий на локальном компьютере. В большинстве случаев ваш компьютер Windows Server 2003 исполняет определенную роль в домене, и обычно на таком компьютере не задают сложный набор пользователей и групп для работы с данным компьютером.
Помните также, что группы предназначены для того, чтобы ограничивать действия пользователей на сервере, а не предоставлять право на выполнение операций. Большинство локальных групп не содержит членов, но это не означает, что никто не сможет выполнять задачи, разрешаемые членством в этих группах, а просто значит, что нет пользователей, права которых ограничены этой группой. Члены групп с более широкими правами (например, Administrators) уже имеют право на выполнение таких задач.
Локальные группы по умолчанию
Вы можете видеть группы по умолчанию в папке Groups в оснастке MMC Local Users and Groups (Локальные пользователи и группы), см. рис. 11.1. Чтобы открыть эту оснастку, щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Manage (Управление). Затем раскройте в дереве консоли объект Local Users and Groups и выберите объект Groups.
Следующие локальные группы имеются на рядовом сервере, работающем под управлением Windows Server 2003.
Добавление членов в локальные группы
Вы можете добавлять объекты в любую группу. Этими объектами могут быть локальные пользователи, доменные пользователи или даже другие локальные или доменные группы. Для добавления членов в группу выполните следующие шаги.
При непосредственном вводе имен щелкните на кнопке Check Names (Проверка имен), чтобы убедиться в правильности их ввода. Вы можете вводить имена входа пользователей, и система преобразует их в полностью уточненные доменные имена ( FQDN ).
По окончании добавления членов щелкните на кнопке OK. Появится список членов группы в ее собственном диалоговом окне Properties (см. рис. 11.2).
Создание локальных групп
Если вы используете свой компьютер Windows Server 2003 для какой-то специальной функции или приложения, то вам может потребоваться активизация специальных полномочий для выполнения соответствующих задач. Обычно имеет смысл создать группу для этих задач и включить в нее соответствующих членов. Для большинства ролей, которые вы можете назначить компьютеру, система автоматически создает группу для администрирования соответствующей роли. Например, если вы делаете компьютер сервером DHCP, то на компьютере добавляются соответствующие группы.
Чтобы создать новую группу, откройте оснастку Computer Management, используя шаги, описанные в предыдущем разделе. Щелкните правой кнопкой на контейнере Groups и выберите в контекстном меню пункт New Group. В диалоговом окне New Group введите имя и описание и затем щелкните на кнопке Add, чтобы включить членов в эту группу.
Щелкните на кнопке Create (Создать), чтобы добавить эту группу на данном компьютере. Появится новое пустое диалоговое окно New Group, чтобы вы могли создать еще одну группу. Закончив создание локальных групп, щелкните на кнопке Close (Закрыть).
Управление группами и организационными единицами
Доменные группы
Доменные группы являются частью Active Directory и могут находиться в корневом домене леса, в любом домене леса или в организационной единице (OU). Компьютер Windows Server 2003, который является контроллером домена (DC), автоматически создает группы по умолчанию для домена. Вы администрируете доменные группы в оснастке Active Directory Users and Computers, которая вызывается из меню Administrative Tools данного DC.
Вы можете управлять доменными группами, добавляя членов в существующие группы или создавая новые группы с использованием тех же процедур, что и для локальных групп.
Описание областей действия групп
В Windows Server 2003 группы характеризуются областью действия (scope), которая описывает пределы применения группы в дереве доменов или в лесу. Существуют три области действия групп: глобальная (global), локальная в домене (domain local) и universal (универсальная).
Глобальные группы
Если вы переходите к Windows Server 2003 из Windows N T, то понятие глобальной группы не является для вас чем-то новым. Глобальные группы могут содержать пользовательские учетные записи из домена, а также другие глобальные группы из этого домена. Кроме того, вы можете поместить глобальную группу в локальную группу для рядового сервера того же домена или любого доверяемого домена.
Это означает, что вы можете использовать глобальную группу как средство для «перемещающейся армии администраторов». Включите в глобальную группу нужных членов и затем поместите эту группу в локальную группу на компьютере данного домена или доверяемого домена, чтобы члены этой группы могли администрировать рядовые серверы (или, аналогичным образом, рабочие станции).
Локальные в домене группы
Локальные в домене группы были введены в Windows 2000. В них можно включать пользовательские учетные записи, а также другие локальные в домене группы из того же домена. Вы можете использовать эти группы для назначения полномочий внутри домена.
Поскольку эта область действия основывается полностью на одном домене, она является менее гибкой, чем у глобальных групп. На самом деле, я не уверен, что их вообще стоит использовать.
Универсальные группы
С помощью универсальной группы вы можете делать почти все, что хотите.
Это означает, что после включения нужных членов в ваши универсальные группы вы можете управлять всеми частями своего предприятия, давая универсальным группам права на выполнение задач и представляя членам этих групп соответствующие полномочия доступа к ресурсам.
Во-первых, у вас не может быть универсальных групп, пока ваше предприятие работает в смешанном режиме. Смешанный режим означает, что на вашем предприятии еще остались контроллеры домена Windows NT, а в Windows NT нет средств для работы с этой областью действия. Я считаю, что наиболее веским доводом в пользу модернизации ваших DC Windows NT является необходимость использования универсальных групп. Имеется два режима, уровень которых выше смешанного режима.
Во-вторых, способ, посредством которого универсальные группы реплицируются на контроллеры домена вашего предприятия, может создавать определенные проблемы. Если вы реплицируете универсальную группу на контроллеры домена, которые содержат глобальный каталог (обычно один в каждом сайте), то реплицируются как имена групп, так и имена всех членов каждой группы. Если у вас имеются вложенные универсальные группы, то репликация может занимать очень много времени (если репликация происходит через медленные соединения). Поэтому используйте универсальные группы разумным образом, чтобы получать наилучшие результаты.
В отличие от универсальных групп репликация глобальных групп включает в себя только имя группы, и она ограничена только собственным доменом этой группы. Локальные в домене группы не реплицируются вообще (по моему мнению, это еще одна причина, по которой стоит воздерживаться от их использования).
Изменение областей действия
Если вы создаете группу, то это по умолчанию глобальная группа. Если ваше предприятие работает не в смешанном режиме, то вы можете изменить область действия создаваемой группы следующим образом.
Доменные группы по умолчанию
Если вы устанавливаете Active Directory на компьютере Windows Server 2003 (создаете DC), то система автоматически устанавливает ряд групп. Используйте оснастку Active Directory Users and Computers для просмотра и управления доменными группами.
Группы, находящиеся в контейнере Builtin
В этом разделе дается краткий обзор групп, находящихся в контейнере Builtin. Ваш собственный домен может содержать и другие группы в зависимости от конфигурации домена или контроллера домена.
Account Operators (Операторы учетных записей).Члены этой группы могут создавать, удалять и управлять учетными записями для пользователей, групп и компьютеров, находящихся в контейнере Users, в контейнере Computers и в организационных единицах (OU), но не во встроенной OU Domain Controllers. Однако члены этой группы не могут вносить изменения в группы Administrators и Domain Admins, а также не могут изменять учетные записи любых членов этих групп. Члены этой группы могут выполнять локальный вход на все DC данного домена, а также могут завершать работу этих DC.
Administrators (Администраторы).Члены этой группы имеют полный доступ (full control) ко всем DC в домене. По умолчанию учетная запись Administrator, группа Enterprise Admins (Администраторы предприятия) и группа Domain Admins являются членами этой группы.
Guests (Гости).Члены этой группы не имеют никаких прав по умолчанию. Учетная запись Guest (она отключена по умолчанию) и группа Domain Guests (в контейнере Users) являются членами этой группы.
Incoming Forest Trust Builders (Создатели входящих доверительных отношений леса).
Эта группа появляется только в корневом домене леса. Члены этой группы могут создавать односторонние входящие доверительные отношения леса с корневым доменом леса.
Network Configuration Operators (Операторы сетевой конфигурации).Члены этой группы могут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождать IP-адреса на контроллерах домена.
Performance Monitor Users (Пользователи монитора производительности).Члены этой группы могут отслеживать (просматривать) счетчики производительности на контроллерах домена интерактивно или удаленным образом.
Performance Log Users (Пользователи журнала производительности).Члены этой группы могут управлять счетчиками, журналами и оповещениями производительности на контроллерах домена интерактивно или удаленным образом.
Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами до Windows 2000).Члены этой группы могут выполнять доступ ко всем пользователям и группам данного домена. Она используется, чтобы обеспечивать обратную совместимость для компьютеров, работающих под управлением Windows NT версии 4 и более ранних версий. По умолчанию членом этой группы является специальная группа (special identity) Everyone. (Более подробную информацию по специальным группам см. ниже в разделе «Специальные группы».) Добавляйте в эту группу пользователей, только если они работают с Windows NT версии 4 или более ранних версий.
Print Operators (Операторы печати).Члены этой группы могут управлять доменными принтерами.
Remote Desktop Users (Пользователи удаленного рабочего стола).Членам этой группы разрешается удаленный вход на контроллеры данного домена с помощью клиентского ПО Remote Desktop. О возможностях Remote Desktop см. в лекции 3 курса «Администрирование Microsoft Windows Server 2003»
Replicator (Репликатор).Эта группа используется службой репликации File Replication на контроллерах домена. Не включайте пользователей в эту группу.
Server Operators (Операторы сервера).Члены этой группы имеют следующие возможности на контроллерах домена:
Добавляйте в нее только тех пользователей, которые понимают, что они делают.
Users (Пользователи).Члены этой группы могут выполнять большинство типичных задач (запускать приложения, использовать локальные и сетевые принтеры). По умолчанию группы Domain Users и Authenticated Users являются членами этой группы (а это означает, что любая пользовательская учетная запись, которую вы создаете в домене, автоматически становится членом группы Users).
Группы в контейнере Users
Группы, которые описываются в этом разделе, находятся в контейнере Users оснастки Active Directory Users and Computers. В дополнение к этим группам у вас могут быть и другие группы в вашем контейнере Users. Например, если ваш DC является сервером DNS, то у вас будет несколько групп, сконфигурированных для управления DNS.
Cert Publishers (Издатели сертификатов).Члены этой группы могут публиковать сертификаты для пользователей и компьютеров.
Domain Admins (Администраторы доменов).Члены этой группы имеют полный доступ (full control) к домену. По умолчанию эта группа является членом группы Administrators на всех контроллерах домена, на всех рабочих станциях и на всех рядовых серверах в этом домене. Учетная запись Administrator автоматически является членом этой группы, и вам не следует добавлять неопытных и некомпетентных пользователей.
Domain Computers (Компьютеры домена).Эта группа содержит все рабочие станции и рядовые серверы домена.
Domain Controllers (Контроллеры домена).Эта группа содержит все контроллеры данного домена.
Domain Guests (Гости домена).Эта группа содержит всех гостей домена.
Domain Users (Пользователи домена).Эта группа содержит всех пользователей домена, а это означает, что любая пользовательская учетная запись, созданная в домене, являются членом этой группы.
Enterprise Admins (Администраторы предприятия).Эта группа представлена только в корневом домене леса. Члены группы имеют полный доступ ко всем доменам леса, и эта группа является членом группы Administrators на всех контроллерах домена в данном лесу. По умолчанию учетная запись Administrator является членом этой группы, и вам не следует добавлять пользователей, не имеющих опыта и компетенции в вопросах управления сетью предприятия.
Group Policy Creator Owners (Владельцы-создатели групповых политик).Члены этой группы могут изменять групповые политики в домене. По умолчанию учетная запись Administrator является членом этой группы, и вам следует добавлять только тех пользователей, которые понимают возможности и последствия применения групповых политик.
Специальные группы
В вашем домене имеются также группы, с которыми вы не можете работать. Вы не можете видеть или изменять членство в этих группах и не можете видеть такую группу в оснастке Active Directory Users and Computers; эти группы не имеют области действия. Вы можете видеть эти группы, только когда задаете полномочия по сетевым ресурсам.
Эти группы называются специальными группами (special identities),и Windows использует их для представления различных пользователей в различных случаях в зависимости от обстоятельств. Членство в этих группах является временным и недолгим. Например, группа Everyone представляет всех текущих пользователей, выполнивших вход в сеть, включая гостей и пользователей из других доменов.