Konta dla wszystkich
Członkowie tej grupy mają pełną kontrolę nad komputerem. Z tego względu należy ostrożnie dodawać do niej nowych użytkowników. W miarę możliwości w codziennej pracy unikaj używania konta, które należy do tej grupy.
Uprawnienia: dostęp do komputera z sieci; dopasowywanie przydziałów pamięci dla procesu; zezwalanie na lokalne logowanie się; zezwalanie na logowanie się przez usługi terminalowe; tworzenie kopii zapasowych plików i katalogów; pomijanie sprawdzania przechodzenia; zmienianie czasu systemowego; tworzenie pliku stronicowania; debugowanie programów; wymuszanie zamknięcia systemu z systemu zdalnego; podwyższanie priorytetu w harmonogramie; ładowanie i zwalnianie sterowników urządzeń; zarządzanie dziennikiem inspekcji i zabezpieczeń; modyfikowanie wartości środowiskowych oprogramowania układowego; wykonywanie zadań związanych z konserwacją woluminów; profilowanie pojedynczego procesu; profilowanie wydajności systemu; wyjmowanie komputera ze stacji dokującej; przywracanie plików i katalogów; zamykanie systemu; przejmowanie na własność plików lub innych obiektów.
Czytelnicy dzienników zdarzeń
Członkowie tej grupy mają uprawnienia zwykłych użytkowników, ale dodatkowo mają dostęp do dzienników zdarzeń systemowych i mogą przeglądać ich raporty.
Goście (Vista i XP) – grupa o tej nazwie jest trochę myląca, gdyż uprawnienia konta przypisanego do grupy Goście są identyczne z tymi, jakimi dysponują członkowie grupy Użytkownicy. Wyjątkiem jest specjalne i domyślnie tworzone w trakcie instalacji (zarówno XP, jak i Visty) konto o nazwie Gość. Jest ono objęte dodatkowymi restrykcjami.
Uprawnienia: takie jak grupy Użytkownicy.
Ta grupa umożliwia administratorom ustawianie praw typowych dla wszystkich aplikacji pomocy technicznej. Domyślnie jedynym członkiem grupy jest konto związane z aplikacjami pomocy technicznej firmy Microsoft, takimi jak Pomoc zdalna. Nie należy dodawać użytkowników do tej grupy.
IIS_IUSRS
To grupa utworzona na potrzeby działającego w Windows serwera WWW IIS 7.0. Nie należy do tej grupy przyporządkowywać użytkowników.
Operatorzy konfiguracji sieci
Członkowie tej grupy mogą zmieniać ustawienia TCP/IP oraz odnawiać i zwalniać adresy TCP/IP. Ta grupa nie ma członków domyślnych.
Członkowie tej grupy mogą tworzyć kopie zapasowe plików na serwerze i przywracać je bez względu na uprawnienia chroniące pliki. Dzieje się tak, ponieważ prawo tworzenia kopii zapasowych jest ważniejsze od wszystkich uprawnień do plików. Członkowie grupy nie mogą zmieniać ustawień zabezpieczeń.
Uprawnienia: dostęp do komputera z sieci; zezwalanie na logowanie się lokalnie; tworzenie kopii zapasowych plików i katalogów; pomijanie sprawdzania przechodzenia; przywracanie plików i katalogów; zamykanie systemu.
Użytkownicy, których konta będą przypisane do tej grupy, oprócz uprawnień zwykłych użytkowników mają dostęp do funkcji szyfrujących. W praktyce w domowych komputerach ta grupa nie ma zastosowania.
Replikator
Jedynym członkiem grupy Replikator powinno być konto użytkownika domeny służące do logowania usługi Replikator na kontrolerze domeny. Nie należy dodawać kont prawdziwych użytkowników do tej grupy. W domowym komputerze grupa ta nie ma żadnego znaczenia.
Członkowie tej grupy mogą wykonywać typowe zadania, np. uruchamiać aplikacje, korzystać z drukarek lokalnych i sieciowych oraz blokować serwer. Użytkownicy nie mogą udostępniać katalogów ani tworzyć drukarek lokalnych. Domyślnie grupy Użytkownicy domeny, Użytkownicy uwierzytelnieni i Użytkownicy interakcyjni są członkami tej grupy. Dlatego każde konto użytkownika utworzone w domenie staje się członkiem tej grupy.
Uprawnienia: dostęp do komputera z sieci; zezwalanie na logowanie się lokalne; pomijanie sprawdzania przechodzenia.
Konto przypisane do tej grupy ma uprawnienia do uruchamiania i korzystania z obiektów DCOM, co w praktyce oznacza możliwość uruchamiania np. kontrolek ActiveX w przeglądarce Internet Explorer. Poza tym zakres uprawnień identyczny z grupą Użytkownicy.
Użytkownicy dzienników wydajności
Członkowie tej grupy mogą zarządzać licznikami, dziennikami i alertami wydajności na serwerze, lokalnie i z klientów zdalnych, nie będąc członkami grupy Administratorzy.
Użytkownicy monitora wydajności
Członkowie tej grupy mogą monitorować liczniki wydajności na serwerze, lokalnie i z klientów zdalnych, nie będąc członkami grup Administratorzy i Użytkownicy dzienników wydajności.
Członkowie mogą logować się zdalnie na serwer.
Uprawnienia: zezwalanie na logowanie się przez usługi terminalowe.
Członkowie tej grupy mogą tworzyć konta użytkowników, a następnie modyfikować je i usuwać. Mogą tworzyć grupy lokalne, a następnie dodawać do nich użytkowników i usuwać. Mogą również dodawać lub usuwać użytkowników w ramach grup Użytkownicy zaawansowani, Użytkownicy i Goście. Członkowie mogą tworzyć zasoby udostępnione i administrować nimi. Nie mogą przejmować plików na własność, tworzyć kopii zapasowych katalogów i przywracać ich, ładować i zwalniać sterowników urządzeń ani zarządzać dziennikami zabezpieczeń i inspekcji. Jeżeli potrzebujesz na komputerze konta o zwiększonych (w stosunku do grupy Użytkownicy) uprawnieniach, korzystaj właśnie z tej grupy.
Uprawnienia: dostęp do komputera z sieci; zezwalanie na logowanie się lokalne; pomijanie sprawdzania przechodzenia; zmienianie czasu systemowego; profilowanie pojedynczego procesu; wyjmowanie komputera ze stacji dokującej; zamykanie systemu.
Konto Administrator
Konto zapewnia pełną kontrolę nad komputerem i w razie potrzeby umożliwia przypisywanie użytkownikom praw użytkownika i uprawnień kontroli dostępu. Konta tego należy używać wyłącznie do wykonywania zadań wymagających poświadczeń administracyjnych. Konto Administrator jest członkiem grupy Administratorzy. Konta tego nie można usunąć z grupy Administratorzy, ale ze względów bezpieczeństwa warto zmienić jego nazwę lub je wyłączyć. Ponieważ wiadomo, że konto Administrator istnieje w wielu wersjach systemu Windows, zmiana jego nazwy lub jego wyłączenie utrudni złośliwym użytkownikom uzyskanie do niego dostępu.
Z konta Administrator korzystasz także podczas pierwszej instalacji systemu (do momentu, dopóki nie utworzysz własnego konta)
Ważne: Nawet kiedy konto Administrator zostanie wyłączone (takie jest domyślne ustawienie w Windows Vista), nadal może umożliwić dostęp do komputera w trybie awaryjnym.
Konto Gość
Konto służy osobom, które nie mają własnego konta na danym komputerze. Użytkownik, którego konto jest wyłączone, ale nie jest usunięte, również może korzystać z konta Gość. Korzystanie
z konta Gość nie wymaga podawania hasła. Konto to jest domyślnie wyłączone, ale można je włączyć.
Prawa i uprawnienia dla konta Gość można ustawiać tak samo jak dla dowolnego innego konta użytkownika. Domyślnie konto Gość jest członkiem grupy Goście, co umożliwia użytkownikowi zalogowanie się na komputer/serwer. Jakiekolwiek dodatkowe uprawnienia muszą zostać udzielone grupie Goście przez członka grupy Administratorzy. Jeżeli nie jest to koniecznie, nie włączaj (domyślnie wyłączonego) konta Gość.
Konto Pomocnik
Podstawowe konto służące do ustanawiania sesji Pomocy zdalnej. Konto to jest tworzone automatycznie w momencie żądania sesji pomocy zdalnej. Ma ograniczony dostęp do komputera. Konto Pomocnik jest zarządzane przez usługę menedżera sesji pomocy pulpitu zdalnego i zostanie automatycznie usunięte, jeśli nie ma oczekujących żądań Pomocy zdalnej.
