Active Directory Best Practices for User Accounts. Unsere Mitarbeiter, dies sind in der Regel Juristen mit IT-Kompetenz, veröffentlichen Beiträge unter diesem Pseudonym. 10.06.2016 | Autor: Thomas Joos. ADSI Edit ist Teil der Windows Support Tools, zu finden im Ordner Man kann sich allerdings mit ADSI Edit auch darauf beschränken, die Sicherheitseinstellungen für die Partitionen Einige der Einstellungen sind allerdings bereits recht detailliert.

Auch Sharepoint, SQL, ISA-Server, IIS und letztlich auch im Active Directory werden mit Vorliebe "Gruppen" für die Vergabe von Berechtigungen eingesetzt. Das „ob“ wäre ja Datenschutz, aber das „wie“, also die Ausgestaltung, eher IT Sicherheit.Wenn ein neues System eingeführt werden soll, sollte der Datenschutzbeauftragte bereits in der Planungsphase eingebunden werden und kann hier auch das in der Planungsphase befindliche Berechtigungskonzept prüfen. sollten Administratoren diese Berechtigungen nicht einzelnen Benutzern, sondern einer Sicherheitsgruppe zuweisen.When assigning permissions for resources (file shares, printers, and so on), administrators should assign those permissions to a security group rather than to individual users.Die Berechtigungen werden der Gruppe einmalig zugewiesen, und zwar nicht mehrmals für jeden einzelnen Benutzer.The permissions are assigned once to the group, instead of several times to each individual user.Jedes Konto, das einer Gruppe hinzugefügt wird, erhält die Rechte, die dieser Gruppe in ActiveDirectory zugewiesen sind, und der Benutzer erhält die Berechtigungen, die für diese Gruppe definiert sind.Each account that is added to a group receives the rights that are assigned to that group in ActiveDirectory, and the user receives the permissions that are defined for that group.Wie Verteilergruppen können Sicherheitsgruppen als e-Mail-Entität verwendet werden.Like distribution groups, security groups can be used as an email entity.Wenn Sie eine e-Mail-Nachricht an die Gruppe senden, wird die Nachricht an alle Mitglieder der Gruppe gesendet.Sending an email message to the group sends the message to all the members of the group.Gruppen sind durch einen Bereich gekennzeichnet, der angibt, in welchem Umfang die Gruppe in der Domänenstruktur oder-Gesamtstruktur angewendet wird.Groups are characterized by a scope that identifies the extent to which the group is applied in the domain tree or forest.Der Bereich der Gruppe definiert, wo der Gruppe Berechtigungen erteilt werden können.The scope of the group defines where the group can be granted permissions.Die folgenden drei Gruppenbereiche werden von ActiveDirectory definiert:The following three group scopes are defined by ActiveDirectory:Zusätzlich zu diesen drei Bereichen verfügen die Standardgruppen im Container In addition to these three scopes, the default groups in the Dieser Gruppenbereich und Gruppentyp können nicht geändert werden.In der folgenden Tabelle sind die drei Gruppenbereiche und weitere Informationen zu jedem Bereich für eine Sicherheitsgruppe aufgelistet.The following table lists the three group scopes and more information about each scope for a security group.Konten aus einer beliebigen Domäne in der gleichen GesamtstrukturGlobale Gruppen aus einer beliebigen Domäne in der gleichen GesamtstrukturAndere universelle Gruppen aus einer beliebigen Domäne in der gleichen GesamtstrukturOther Universal groups from any domain in the same forestKann in den lokalen Domänenbereich konvertiert werden, wenn die Gruppe kein Mitglied anderer universeller Gruppen istCan be converted to Domain Local scope if the group is not a member of any other Universal groupsKann in einen globalen Bereich konvertiert werden, wenn die Gruppe keine anderen universellen Gruppen enthältCan be converted to Global scope if the group does not contain any other Universal groupsIn einer beliebigen Domäne in derselben Gesamtstruktur oder in vertrauenswürdigen GesamtstrukturenOn any domain in the same forest or trusting forestsAndere universelle Gruppen in derselben GesamtstrukturLokale Domänengruppen in derselben Gesamtstruktur oder vertrauenden GesamtstrukturenDomain Local groups in the same forest or trusting forestsLokale Gruppen auf Computern in derselben Gesamtstruktur oder vertrauenden GesamtstrukturenLocal groups on computers in the same forest or trusting forestsKann in den universellen Bereich konvertiert werden, wenn die Gruppe kein Mitglied einer anderen globalen Gruppe istCan be converted to Universal scope if the group is not a member of any other global groupIn einer beliebigen Domäne in derselben Gesamtstruktur oder vertrauenden Domänen oder GesamtstrukturenOn any domain in the same forest, or trusting domains or forestsUniverselle Gruppen aus einer beliebigen Domäne in der gleichen GesamtstrukturUniversal groups from any domain in the same forestLokale Domänengruppen aus einer beliebigen Domäne in der gleichen Gesamtstruktur oder aus einer vertrauenswürdigen DomäneDomain Local groups from any domain in the same forest, or from any trusting domainKonten aus einer beliebigen Domäne oder einer vertrauenswürdigen DomäneGlobale Gruppen aus einer beliebigen Domäne oder einer vertrauenswürdigen DomäneGlobal groups from any domain or any trusted domainUniverselle Gruppen aus einer beliebigen Domäne in der gleichen GesamtstrukturUniversal groups from any domain in the same forestAndere lokale Domänengruppen aus derselben DomäneKonten, globale Gruppen und universelle Gruppen aus anderen Gesamtstrukturen und aus externen DomänenAccounts, Global groups, and Universal groups from other forests and from external domainsKann in den universellen Bereich konvertiert werden, wenn die Gruppe keine anderen lokalen Domänengruppen enthältCan be converted to Universal scope if the group does not contain any other Domain Local groupsAndere lokale Domänengruppen aus derselben DomäneLokale Gruppen auf Computern in der gleichen Domäne, ausgenommen integrierte Gruppen mit bekannten SIDsLocal groups on computers in the same domain, excluding built-in groups that have well-known SIDsBesondere Identitäten werden im Allgemeinen als Gruppen bezeichnet.Special identities are generally referred to as groups.Spezielle Identitäts Gruppen verfügen nicht über bestimmte Mitgliedschaften, die geändert werden können, Sie können jedoch je nach Situation verschiedene Benutzer zu unterschiedlichen Zeitpunkten darstellen.Special identity groups do not have specific memberships that can be modified, but they can represent different users at different times, depending on the circumstances.Einige dieser Gruppen sind Creator Owner, Batch und authentifizierter Benutzer.Some of these groups include Creator Owner, Batch, and Authenticated User.Informationen zu allen speziellen Identitäts Gruppen finden Sie unter For information about all the special identity groups, see Standardgruppen, beispielsweise die Gruppe "Domänen-Admins", sind Sicherheitsgruppen, die beim Erstellen einer ActiveDirectory-Domäne automatisch erstellt werden.Default groups, such as the Domain Admins group, are security groups that are created automatically when you create an ActiveDirectory domain.Sie können diese vordefinierten Gruppen dazu verwenden, den Zugriff auf freigegebene Ressourcen zu steuern und bestimmte domänenweite Administratorrollen zu delegieren.You can use these predefined groups to help control access to shared resources and to delegate specific domain-wide administrative roles.Vielen Standardgruppen wird automatisch eine Gruppe von Benutzerrechten zugewiesen, die Mitgliedern der Gruppe das Ausführen bestimmter Aktionen in einer Domäne autorisieren, beispielsweise die Anmeldung an einem lokalen System oder das Sichern von Dateien und Ordnern.Many default groups are automatically assigned a set of user rights that authorize members of the group to perform specific actions in a domain, such as logging on to a local system or backing up files and folders.Ein Mitglied der Gruppe "Sicherungs-Operatoren" hat beispielsweise das Recht, Sicherungsvorgänge für alle Domänencontroller in der Domäne durchzuführen.For example, a member of the Backup Operators group has the right to perform backup operations for all domain controllers in the domain.Wenn Sie einen Benutzer zu einer Gruppe hinzufügen, erhält der Benutzer alle Benutzerrechte, die der Gruppe zugewiesen sind, sowie alle Berechtigungen, die der Gruppe für freigegebene Ressourcen zugewiesen sind.When you add a user to a group, the user receives all the user rights that are assigned to the group and all the permissions that are assigned to the group for any shared resources.Sie können Gruppen, die sich in diesen Containern befinden, in andere Gruppen oder Organisationseinheiten innerhalb der Domäne verschieben, aber nicht in andere Domänen verschieben.You can move groups that are located in these containers to other groups or organizational units (OU) within the domain, but you cannot move them to other domains.Einige administrative Gruppen, die in diesem Thema aufgelistet sind, und alle Mitglieder dieser Gruppen sind durch einen Hintergrundprozess geschützt, der in regelmäßigen Abständen eine bestimmte Sicherheitsbeschreibung überprüft und anwendet.Some of the administrative groups that are listed in this topic and all members of these groups are protected by a background process that periodically checks for and applies a specific security descriptor.Dieser Deskriptor ist eine Datenstruktur, die Sicherheitsinformationen enthält, die einem geschützten Objekt zugeordnet sind.This descriptor is a data structure that contains security information associated with a protected object.Durch diesen Vorgang wird sichergestellt, dass alle erfolgreichen unbefugten Versuche, die Sicherheitsbeschreibung in einem der administrativen Konten oder Gruppen zu ändern, mit den geschützten Einstellungen überschrieben werden.This process ensures that any successful unauthorized attempt to modify the security descriptor on one of the administrative accounts or groups will be overwritten with the protected settings.Das bedeutet, dass Sie die Sicherheitsbeschreibung für das This means that if you want to modify the permissions on one of the service administrator groups or on any of its member accounts, you must modify the security descriptor on the Achten Sie beim vornehmen dieser Änderungen darauf, dass Sie auch die Standardeinstellungen ändern, die auf alle geschützten Administratorkonten angewendet werden.Be careful when you make these modifications because you are also changing the default settings that will be applied to all of your protected administrative accounts.Active Directory-Standardsicherheitsgruppen nach BetriebssystemversionActive Directory default security groups by operating system versionDie folgenden Tabellen enthalten Beschreibungen der Standardgruppen, die sich in den Containern The following tables provide descriptions of the default groups that are located in the Eingehende Gesamtstruktur Vertrauensstellungs-GeneratorenMitglieder dieser Gruppe können Autorisierungs Attribute und Berechtigungen für Ressourcen auf dem Computer Remoteabfragen.Members of this group can remotely query authorization attributes and permissions for resources on the computer.Die Gruppe der Zugriffs Steuerungs Unterstützungs Operatoren bezieht sich auf Versionen des Windows Server-Betriebssystems, die in der The Access Control Assistance Operators group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Die Gruppe Konten-Operatoren gewährt einem Benutzer begrenzte Konto Erstellungsberechtigungen.The Account Operators group grants limited account creation privileges to a user.Mitglieder dieser Gruppe können die meisten Arten von Konten erstellen und ändern, einschließlich derer von Benutzern, lokalen Gruppen und globalen Gruppen, und Mitglieder können sich lokal bei Domänencontrollern anmelden.Members of this group can create and modify most types of accounts, including those of users, local groups, and global groups, and members can log in locally to domain controllers.Mitglieder der Gruppe Konten-Operatoren können das Administrator Benutzerkonto, die Benutzerkonten von Administratoren oder die Gruppen Members of the Account Operators group cannot manage the Administrator user account, the user accounts of administrators, or the Mitglieder dieser Gruppe können keine Benutzerrechte ändern.Die Gruppe "Konto-Operatoren" bezieht sich auf Versionen des Windows Server-Betriebssystems, die in der The Account Operators group applies to versions of the Windows Server operating system listed in the Standardmäßig enthält diese integrierte Gruppe keine Mitglieder, und Sie kann Benutzer und Gruppen in der Domäne erstellen und verwalten, einschließlich ihrer eigenen Mitgliedschaft und der Gruppe der Server Operatoren.By default, this built-in group has no members, and it can create and manage users and groups in the domain, including its own membership and that of the Server Operators group.Diese Gruppe wird als Dienstadministratorgruppe angesehen, da Sie die Server Operatoren ändern kann, wodurch wiederum die Einstellungen des Domänencontrollers geändert werden können.This group is considered a service administrator group because it can modify Server Operators, which in turn can modify domain controller settings.Als bewährte Methode sollten Sie die Mitgliedschaft in dieser Gruppe leer lassen und Sie nicht für Delegierte Verwaltungszwecke verwenden.As a best practice, leave the membership of this group empty, and do not use it for any delegated administration.Diese Gruppe kann nicht umbenannt, gelöscht oder verschoben werden.Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder der Gruppe Administratoren haben vollständigen und uneingeschränkten Zugriff auf den Computer, oder wenn der Computer zu einem Domänencontroller heraufgestuft wird, haben Mitglieder uneingeschränkten Zugriff auf die Domäne.Members of the Administrators group have complete and unrestricted access to the computer, or if the computer is promoted to a domain controller, members have unrestricted access to the domain.Die Gruppe Administratoren gilt für Versionen des Windows Server-Betriebssystems, die in der The Administrators group applies to versions of the Windows Server operating system listed in the Die Gruppe Administratoren verfügt über integrierte Funktionen, die ihren Mitgliedern die volle Kontrolle über das System bieten.The Administrators group has built-in capabilities that give its members full control over the system.Diese Gruppe kann nicht umbenannt, gelöscht oder verschoben werden.Diese integrierte Gruppe steuert den Zugriff auf alle Domänencontroller in Ihrer Domäne, und Sie kann die Mitgliedschaft aller administrativen Gruppen ändern.This built-in group controls access to all the domain controllers in its domain, and it can change the membership of all administrative groups.Die Mitgliedschaft kann von Mitgliedern der folgenden Gruppen geändert werden: den standardmäßigen Dienstadministratoren, Domänenadministratoren in der Domäne oder Unternehmensadministratoren.Membership can be modified by members of the following groups: the default service Administrators, Domain Admins in the domain, or Enterprise Admins.Diese Gruppe hat das besondere Privileg, den Besitz eines beliebigen Objekts im Verzeichnis oder einer beliebigen Ressource auf einem Domänencontroller zu übernehmen.This group has the special privilege to take ownership of any object in the directory or any resource on a domain controller.Dieses Konto wird als Dienstadministratorgruppe angesehen, da seine Mitglieder Vollzugriff auf die Domänencontroller in der Domäne haben.This account is considered a service administrator group because its members have full access to the domain controllers in the domain.Diese Sicherheitsgruppe umfasst die folgenden Änderungen seit Windows Server 2008:This security group includes the following changes since Windows Server 2008:Änderungen an den standardmäßigen Benutzerrechten: Administrator, Domänenadministratoren, UnternehmensadministratorenSicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Anpassen von Speicherkontingenten für einen Prozess Adjust memory quotas for a process: SeIncreaseQuotaPrivilegeAccess this computer from the network: SeNetworkLogonRightZulassen der Anmeldung über Remote Desktop Dienste Allow log on through Remote Desktop Services: SeRemoteInteractiveLogonRightCreate symbolic links: SeCreateSymbolicLinkPrivilegeAktivieren der Vertrauenswürdigkeit von Computer-und Benutzerkonten für die Delegierung Enable computer and user accounts to be trusted for delegation: SeEnableDelegationPrivilegeErzwingen des Herunterfahrens von einem Remote System Force shutdown from a remote system: SeRemoteShutdownPrivilegeIdentitätswechsel zwischen einem Client und der Authentifizierung Impersonate a client after authentication: SeImpersonatePrivilegeIncrease scheduling priority: SeIncreaseBasePriorityPrivilegeLoad and unload device drivers: SeLoadDriverPrivilegeVerwalten von Überwachungs-und Sicherheitsprotokollen Manage auditing and security log: SeSecurityPrivilegeModify firmware environment values: SeSystemEnvironmentPrivilegePerform volume maintenance tasks: SeManageVolumePrivilegeProfile system performance: SeSystemProfilePrivilegeProfile single process: SeProfileSingleProcessPrivilegeRemove computer from docking station: SeUndockPrivilegeÜbernehmen des Besitzes von Dateien oder anderen Objekten Take ownership of files or other objects: SeTakeOwnershipPrivilegeDiese Sicherheitsgruppe dient zum Verwalten einer RODC-Kennwortreplikationsrichtlinie.The purpose of this security group is to manage a RODC password replication policy.Diese Gruppe enthält standardmäßig keine Mitglieder und führt zu der Bedingung, dass neue schreibgeschützte Domänencontroller keine Benutzeranmeldeinformationen Zwischenspeichern.This group has no members by default, and it results in the condition that new Read-only domain controllers do not cache user credentials.Die Gruppe verweigerte RODC-Kennwortreplikation ersetzt die zulässige RODC-Kenn Wort Replikationsgruppe.The Denied RODC Password Replication group supersedes the Allowed RODC Password Replication group.Die Gruppe Zulässige RODC-Kennwortreplikation bezieht sich auf Versionen des Windows Server-Betriebssystems, die in der The Allowed RODC Password Replication group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder der Gruppe Sicherungsoperatoren können unabhängig von den Berechtigungen, die diese Dateien schützen, alle Dateien auf einem Computer sichern und wiederherstellen.Members of the Backup Operators group can back up and restore all files on a computer, regardless of the permissions that protect those files.Backup-Operatoren können sich auch bei anmelden und den Computer Herunterfahren.Backup Operators also can log on to and shut down the computer.Diese Gruppe kann nicht umbenannt, gelöscht oder verschoben werden.Standardmäßig hat diese integrierte Gruppe keine Mitglieder und kann Sicherungs-und Wiederherstellungsvorgänge auf Domänencontrollern durchführen.By default, this built-in group has no members, and it can perform backup and restore operations on domain controllers.Die Mitgliedschaft kann durch die folgenden Gruppen geändert werden: Standarddienst Administratoren, Domänenadministratoren in der Domäne oder Unternehmensadministratoren.Its membership can be modified by the following groups: default service Administrators, Domain Admins in the domain, or Enterprise Admins.Die Mitgliedschaft in administrativen Gruppen kann nicht geändert werden.It cannot modify the membership of any administrative groups.Während Mitglieder dieser Gruppe die Servereinstellungen nicht ändern oder die Konfiguration des Verzeichnisses ändern können, verfügen Sie über die erforderlichen Berechtigungen, um Dateien (einschließlich Betriebssystemdateien) auf Domänencontrollern zu ersetzen.While members of this group cannot change server settings or modify the configuration of the directory, they do have the permissions needed to replace files (including operating system files) on domain controllers.Aus diesem Grund gelten Mitglieder dieser Gruppe als Dienstadministratoren.Because of this, members of this group are considered service administrators.Die Gruppe Sicherungs-Operatoren gilt für Versionen des Windows Server-Betriebssystems, die in der The Backup Operators group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder dieser Gruppe können eine Verbindung mit Zertifizierungsstellen im Unternehmen herstellen.Members of this group are allowed to connect to certification authorities in the enterprise.Die DCOM-Zugriffsgruppe Zertifikatdienst gilt für Versionen des Windows Server-Betriebssystems, die in der The Certificate Service DCOM Access group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder der Gruppe "CERT Publishers" sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen.Members of the Cert Publishers group are authorized to publish certificates for User objects in ActiveDirectory.Die Gruppe "CERT Publishers" bezieht sich auf Versionen des Windows Server-Betriebssystems, die in der The Cert Publishers group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder der Gruppe der geklonten Domänencontroller, bei denen es sich um Domänencontroller handelt, können geklont werden.Members of the Cloneable Domain Controllers group that are domain controllers may be cloned.In Windows Server 2012 R2 und Windows Server 2012 können Sie Domänencontroller durch Kopieren eines vorhandenen virtuellen Domänencontrollers bereitstellen.In Windows Server 2012 R2 and Windows Server 2012, you can deploy domain controllers by copying an existing virtual domain controller.In einer virtuellen Umgebung müssen Sie nicht mehr wiederholt ein Serverabbild bereitstellen, das mithilfe von sysprep.exe vorbereitet wird, den Server zu einem Domänencontroller heraufstufen und dann zusätzliche Konfigurationsanforderungen für die Bereitstellung der einzelnen Domänencontroller (einschließlich des Hinzufügens des virtuellen Domänencontrollers zu dieser Sicherheitsgruppe) ausführen.In a virtual environment, you no longer have to repeatedly deploy a server image that is prepared by using sysprep.exe, promote the server to a domain controller, and then complete additional configuration requirements for deploying each domain controller (including adding the virtual domain controller to this security group).Diese Sicherheitsgruppe wurde in Windows Server2012 eingeführt und hat sich in späteren Versionen nicht geändert.This security group was introduced in Windows Server2012, and it has not changed in subsequent versions.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder dieser Gruppe sind autorisiert, kryptografische Vorgänge durchzuführen.Members of this group are authorized to perform cryptographic operations.Diese Sicherheitsgruppe wurde in Windows Vista Service Pack 1 (SP1) hinzugefügt, um die Windows-Firewall für IPSec im Modus für allgemeine Kriterien zu konfigurieren.This security group was added in Windows Vista Service Pack 1 (SP1) to configure Windows Firewall for IPsec in Common Criteria mode.Die Gruppe kryptografische Operatoren gilt für Versionen des Windows Server-Betriebssystems, die in der The Cryptographic Operators group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe wurde in WindowsVistaServicePack1 eingeführt und hat sich in späteren Versionen nicht geändert.This security group was introduced in WindowsVistaServicePack1, and it has not changed in subsequent versions.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder der Gruppe der verweigerten RODC-Kennwortreplikation können Ihre Kennwörter nicht auf einen schreibgeschützten Domänencontroller replizieren.Members of the Denied RODC Password Replication group cannot have their passwords replicated to any Read-only domain controller.Diese Sicherheitsgruppe dient zum Verwalten einer RODC-Kennwortreplikationsrichtlinie.The purpose of this security group is to manage a RODC password replication policy.Diese Gruppe enthält eine Vielzahl von Konten mit hoher Berechtigung und Sicherheitsgruppen.This group contains a variety of high-privilege accounts and security groups.Die Gruppe verweigerte RODC-Kennwortreplikation ersetzt die The Denied RODC Password Replication Group supersedes the Diese Sicherheitsgruppe umfasst die folgenden Änderungen seit Windows Server 2008:This security group includes the following changes since Windows Server 2008:Windows Server2012 hat die Standard Mitglieder so geändert, dass Sie Windows Server2012 changed the default members to include Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Diese Gruppe wird derzeit nicht in Windows verwendet.Microsoft rät davon ab, die Standardkonfiguration zu ändern, wenn diese Sicherheitsgruppe keine Mitglieder aufweist.Microsoft does not recommend changing the default configuration where this security group has zero members.Das Ändern der Standardkonfiguration kann zukünftige Szenarien behindern, die auf diese Gruppe angewiesen sind.Changing the default configuration could hinder future scenarios that rely on this group.Die Gruppe "Gerätebesitzer" bezieht sich auf Versionen des Windows Server-Betriebssystems, die in der The Device Owners group applies to versions of the Windows Server operating system listed in the Kann verschoben werden, wird jedoch nicht empfohlenSicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Access this computer from the network: SeNetworkLogonRightMitglieder der Gruppe "verteilte com-Benutzer" dürfen verteilte COM-Objekte auf dem Computer starten, aktivieren und verwenden.Members of the Distributed COM Users group are allowed to launch, activate, and use Distributed COM objects on the computer.Microsoft Component Object Model (com) ist ein plattformunabhängiges, verteiltes objektorientiertes System zum Erstellen binärer Softwarekomponenten, die interagieren können.Microsoft Component Object Model (COM) is a platform-independent, distributed, object-oriented system for creating binary software components that can interact.DCOM (Distributed Component Object Model) ermöglicht die Verteilung von Anwendungen auf Standorte, die für Sie und die Anwendung am sinnvollsten sind.Distributed Component Object Model (DCOM) allows applications to be distributed across locations that make the most sense to you and to the application.Diese Gruppe wird als SID angezeigt, bis der Domänencontroller als primärer Domänencontroller fungiert und die Betriebsmasterrolle (auch als flexible Einzelmaster-Vorgänge oder FSMO bezeichnet) enthält.This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).Die Gruppe verteilte com-Benutzer gilt für Versionen des Windows Server-Betriebssystems, die in der The Distributed COM Users group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder der DnsUpdateProxy-Gruppe sind DNS-Clients.Members of the DnsUpdateProxy group are DNS clients.Sie sind berechtigt, dynamische Updates für andere Clients (wie DHCP-Server) durchzuführen.They are permitted to perform dynamic updates on behalf of other clients (such as DHCP servers).Ein DNS-Server kann veraltete Ressourceneinträge entwickeln, wenn ein DHCP-Server so konfiguriert ist, dass er Host (a)-und Zeigerressourceneinträge (PTR) im Auftrag von DHCP-Clients dynamisch mithilfe des dynamischen Updates registriert.A DNS server can develop stale resource records when a DHCP server is configured to dynamically register host (A) and pointer (PTR) resource records on behalf of DHCP clients by using dynamic update.Das Hinzufügen von Clients zu dieser Sicherheitsgruppe verringert dieses Szenario.Adding clients to this security group mitigates this scenario.Zum Schutz vor ungesicherten Datensätzen oder zum zulassen, dass Mitglieder der DnsUpdateProxy-Gruppe Datensätze in Zonen registrieren, die nur gesicherte dynamische Updates zulassen, müssen Sie ein dediziertes Benutzerkonto erstellen und DHCP-Server so konfigurieren, dass DNS-dynamische Updates mithilfe der Anmeldeinformationen dieses Kontos (Benutzername, Kennwort und Domäne) ausgeführt werden.However, to protect against unsecured records or to permit members of the DnsUpdateProxy group to register records in zones that allow only secured dynamic updates, you must create a dedicated user account and configure DHCP servers to perform DNS dynamic updates by using the credentials of this account (user name, password, and domain).Mehrere DHCP-Server können die Anmeldeinformationen eines dedizierten Benutzerkontos verwenden.Multiple DHCP servers can use the credentials of one dedicated user account.Diese Gruppe ist nur verfügbar, wenn die DNS-Serverrolle auf einem Domänencontroller in der Domäne installiert ist oder wurde.This group exists only if the DNS server role is or was once installed on a domain controller in the domain.Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder der DnsAdmins-Gruppe können auf Netzwerk-DNS-Informationen zugreifen.Members of DNSAdmins group have access to network DNS information.Die Standardberechtigungen lauten wie folgt: zulassen: lesen, schreiben, alle untergeordneten Objekte erstellen, untergeordnete Objekte löschen, spezielle Berechtigungen.The default permissions are as follows: Allow: Read, Write, Create All Child objects, Delete Child objects, Special Permissions.Diese Gruppe ist nur verfügbar, wenn die DNS-Serverrolle auf einem Domänencontroller in der Domäne installiert ist oder wurde.This group exists only if the DNS server role is or was once installed on a domain controller in the domain.Weitere Informationen zu Sicherheit und DNS finden Sie unter Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder der Sicherheitsgruppe "Domänenadministratoren" sind berechtigt, die Domäne zu verwalten.Members of the Domain Admins security group are authorized to administer the domain.Standardmäßig ist die Gruppe Domänen-Admins ein Mitglied der Gruppe Administratoren auf allen Computern, die einer Domäne beigetreten sind, einschließlich der Domänencontroller.By default, the Domain Admins group is a member of the Administrators group on all computers that have joined a domain, including the domain controllers.Die Gruppe "Domänen-Admins" ist der Standardbesitzer eines beliebigen Objekts, das von einem Mitglied der Gruppe in ActiveDirectory für die Domäne erstellt wird.The Domain Admins group is the default owner of any object that is created in ActiveDirectory for the domain by any member of the group.Wenn Mitglieder der Gruppe andere Objekte wie Dateien erstellen, ist der Standardbesitzer die Gruppe Administratoren.If members of the group create other objects, such as files, the default owner is the Administrators group.Die Gruppe Domänenadministratoren steuert den Zugriff auf alle Domänencontroller in einer Domäne, und Sie kann die Mitgliedschaft aller Administratorkonten in der Domäne ändern.The Domain Admins group controls access to all domain controllers in a domain, and it can modify the membership of all administrative accounts in the domain.Die Mitgliedschaft kann von Mitgliedern der Dienstadministratorgruppen in Ihrer Domäne (Administratoren und Domänenadministratoren) sowie von Mitgliedern der Gruppe Organisations-Admins geändert werden.Membership can be modified by members of the service administrator groups in its domain (Administrators and Domain Admins), and by members of the Enterprise Admins group.Hierbei handelt es sich um ein Dienstadministratorkonto, da seine Mitglieder Vollzugriff auf die Domänencontroller in einer Domäne haben.This is considered a service administrator account because its members have full access to the domain controllers in a domain.Die Gruppe Domänen-Admins gilt für Versionen des Windows Server-Betriebssystems, die in der The Domain Admins group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Diese Gruppe kann alle Computer und Server enthalten, die der Domäne beigetreten sind, ohne Domänencontroller.This group can include all computers and servers that have joined the domain, excluding domain controllers.Standardmäßig wird jedes Computerkonto, das automatisch erstellt wird, Mitglied dieser Gruppe.By default, any computer account that is created automatically becomes a member of this group.Die Gruppe "Domänencomputer" gilt für Versionen des Windows Server-Betriebssystems, die in der The Domain Computers group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Alle Computer, die mit der Domäne verbunden sind, ohne DomänencontrollerAll computers joined to the domain, excluding domain controllersSicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Die Gruppe "Domänencontroller" kann alle Domänencontroller in der Domäne umfassen.The Domain Controllers group can include all domain controllers in the domain.Neue Domänencontroller werden dieser Gruppe automatisch hinzugefügt.New domain controllers are automatically added to this group.Die Gruppe Domänencontroller gilt für Versionen des Windows Server-Betriebssystems, die in der The Domain Controllers group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Computer Konten für alle Domänencontroller der DomäneComputer accounts for all domain controllers of the domainSicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Die Gruppe Domain guests enthält das integrierte Gastkonto der Domäne.The Domain Guests group includes the domain’s built-in Guest account.Wenn sich Mitglieder dieser Gruppe als lokale Gäste auf einem mit der Domäne verbundenen Computer anmelden, wird ein Domänenprofil auf dem lokalen Computer erstellt.When members of this group sign in as local guests on a domain-joined computer, a domain profile is created on the local computer.Die Gruppe "Domänengäste" gilt für Versionen des Windows Server-Betriebssystems, die in der The Domain Guests group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Kann verschoben werden, wird jedoch nicht empfohlenSicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Die Gruppe "Domänenbenutzer" umfasst alle Benutzerkonten in einer Domäne.The Domain Users group includes all user accounts in a domain.Wenn Sie ein Benutzerkonto in einer Domäne erstellen, wird es dieser Gruppe automatisch hinzugefügt.When you create a user account in a domain, it is automatically added to this group.Standardmäßig wird jedes Benutzerkonto, das in der Domäne erstellt wird, automatisch Mitglied dieser Gruppe.By default, any user account that is created in the domain automatically becomes a member of this group.Diese Gruppe kann verwendet werden, um alle Benutzer in der Domäne darzustellen.This group can be used to represent all users in the domain.Wenn Sie beispielsweise möchten, dass alle Domänenbenutzer auf einen Drucker zugreifen können, können Sie dieser Gruppe Berechtigungen für den Drucker zuweisen (oder die Gruppe "Domänenbenutzer" einer lokalen Gruppe auf dem Druckserver hinzufügen, die über die Berechtigungen für den Drucker verfügt).For example, if you want all domain users to have access to a printer, you can assign permissions for the printer to this group (or add the Domain Users group to a local group on the print server that has permissions for the printer).Die Gruppe "Domänenbenutzer" gilt für Versionen des Windows Server-Betriebssystems, die in der The Domain Users group applies to versions of the Windows Server operating system listed in the Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Die Gruppe "Unternehmensadministratoren" existiert nur in der Stammdomäne einer ActiveDirectory-Gesamtstruktur von Domänen.The Enterprise Admins group exists only in the root domain of an ActiveDirectory forest of domains.Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet.

Dr. Datenschutz - Aktuelles zu Datenschutz, Recht und ITIT-Schwachstellenanalyse: Ihr Schutz vor Cyber-AngriffenInformieren Sie sich hier über unsere maßgeschneiderten Workshops für Ihre IT‑Sicherheit.Das Löschkonzept – Webinar und Erfahrungen aus der PraxisIT-Forensik hilft Datendiebstahl durch Mitarbeiter aufzudeckenDSGVO: Mit diesen 5 Schritten sind Unternehmen optimal vorbereitetHaben Sie Themen- oder Verbesserungsvorschläge? das Löschen und Erstellen von Nutzern, oder Passwortrestriktionen.In der Regel müssen in Berechtigungskonzepten Rollen definiert werden, denen Berechtigungen erteilt oder entzogen werden können.Über Zugriffsrechte wird geregelt, welche Person im Rahmen ihrer Funktion bevollmächtigt wird, IT-Anwendungen oder Daten zu nutzen. in dem Verzeichnissystem zu speichern.