どのActive Directory IDがデフォルトのセキュリティグループメンバーシップによりデフォルトの特権を持っているかを学びます。
ドメインが作成されるときに作成されるActive Directory (オンプレミス) の特定のデフォルトのセキュリティグループは、デフォルトで特権ステータスを付与します。特権セキュリティグループのメンバーシップは、共有リソースへのアクセスを制御し、管理ロールを委任するために使用できます。特権ステータスを必要としない特権アイデンティティが特権グループの一部であるかどうかを調査する必要があります。可能であれば、これらのアイデンティティをグループから削除して、組織のIdentity
Postureを強化してください。
以下の表は、特権ステータスを付与するデフォルトのセキュリティグループの詳細を示しています。
|
グループ
|
説明
|
|
アカウントオペレーター
|
ほとんどのアカウントタイプを作成および変更できます
|
|
管理者
|
コンピューターまたはドメインコントローラーへの無制限のアクセス権を持っています
|
|
バックアップオペレーター
|
保護状態に関係なく、コンピュータ上のすべてのファイルをバックアップおよび復元できます
|
|
ドメイン管理者
|
ドメイン内のすべてのドメインコントローラーおよび管理アカウントへのアクセスを制御します
|
|
ドメインコントローラー
|
ドメイン内のすべてのドメインコントローラーにアクセスできます
|
|
企業管理者
|
フォレスト全体の変更を行うことができ、子ドメインの追加を含みます
|
|
印刷オペレーター
|
ドメイン内のドメインコントローラーに接続されたプリンターを管理、作成、共有、および削除できます
|
|
読み取り専用ドメインコントローラー
|
ドメイン内のすべてのドメインコントローラーに対する読み取り専用アクセス権を持っています
|
|
レプリケーター
|
ドメイン全体でシステムポリシーやログオンスクリプトを含むファイルデータを複製できます
|
|
スキーマ管理者
|
Active Directoryスキーマを変更できます
|
|
サーバオペレーター
|
ドメインコントローラーでサーバーの構成オプションにアクセスして変更できます。デフォルトではメンバーがいません
|