Windows Server Active Directory Configuration

[بانو . ./]

.




لوله ها وحشی می شوند . ./


عملیات پیچیده تر می تواند شامل تعداد بیشتر pipe باشد و ممکن است شامل توابع، ساختار ها، حلقه ها و شرط ها باشد. اغلب pipeline ها برای راحتی در خواندن و بررسی آن ها بیشتر از یک خط هستند. راه های مختلفی وجود دارد که بتوان یک pipeline را بیش از یک سطر وارد کرد.
۱) علامت ‘ : زمانی که آخرین حرف در یک سطر باشد، PowerShell یک سطر دیگر برای ادامه دستور اختصاص می دهد و دستور را اجرا نمی کند. به عنوان مثال:

Get-ADGroupMember -Identity Sales | `
Set-ADUser -Enabled $false


2) علامت لوله | : اگر علامت لوله در پایان یک خط باشد، PowerShell تصور می کند دستور نا تمام است و در سطر بعدی ادامه دستور را می توانید وارد کنید. به عنوان مثال:

Get-ADGroupMember -Identity Sales |
Set-ADUser -Enabled $false



3) آکولاد {} : یک عبارت می تواند در میان دو آکولاد قرار بگیرد و PowerShell تا بسته نشدن آکولاد آن دستور را نا تمام در نظر می گیرد.
زمانی که Prompt به خط دوم برای دستور می رود به صورت << خواهد شد. می توانید خط را خالی رها کنید تا دستور اجرا گردد.




نام های مستعار . ./

PowerShell اجازه می دهد تا یک cmdlet دارای یک نام مستعار (Alias) باشد. به عنوان مثال gsv نام مستعار برای Get-Service است. با استفاده از دستور زیر می توانید لیست Alias ها را برای یک دستور معین مشاهده کنید به طوری که cmdlet دستور می باشد:

Get-Alias -Definition cmdlet



همچنین اگر می خواهید بدانید که نام مستعار مربوط به کدام دستور است می توانید از دستور زیر استفاده کنید. فراموش نکنید که cmdlet های استاندارد دارای فرمت فعل-مفعول اند. در اینجا Alias نام مستعار مورد نظر است:

Get-Alias Alias






.

[بانو . ./]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

فیلم های اموزشی این تاپیک رو حتما دانلود کنید . ./

[بانو . ./]

و

Namespace، Provider و PSDrives . ./

cmdletها روی اشیاء در یک فضای نامی (Namespace) عمل می کنند. به عنوان مثال یک folder روی disk یک namespace است. این فضاهای نامی توسط Provider (فراهم آورنده) ساخته می شوند. به عنوان مثال File System دارای یک Provider است که به این ترتیب می تواند به صورت مستقیم با آن در ارتباط باشد و روی آن عملیات انجام دهد. این مسئله برای Registry هم صادق است.


در PowerShell فضای نامی که توسط هر Provider ساخته شده است توسط یک PSDrive معین می گردد. PowerShell به صورت خودکار یک PSDrive برای هر کدام از Drive های ویندوز می سازد. PowerShell اما استفاده از PSDrive را به مرحله ای فراتر می برد و با استفاده از ساخت PSDrive برای منابعی که متداولا استفاده می گردد، سبب می گردد دسترسی به منابع از طریق PowerShell آسان تر گردد. به عنوان مثال HKCU مربوط به HKEY_CURRENT_USER و HKLM مربوط به HKEY_LOCAL_MACHINE از Registry است. برای مشاهده لیست کامل PSDrive ها دستور زیر را وارد کنید:

Get-PSDrive

PowerShellهمه فن حریف . ./

PowerShell یک رابط متنی مدرن، ساده و یکپارچه است که با استفاده از آن می توانید عملیات پیچیده را به راحتی بنویسید و طعم شیرین مدیریت روی خط فرمان را بچشید. مدیریت با استفاده از PowerShell به تمام مدیران توصیه می گردد چرا که با استفاده از این ابزار پیشرفته می توان بهره وری را افزایش داد. مشابه هر رابط متنی خوب دیگری، با استفاده از فشردن کلید Tab می توانید تکمیل دستور را بر عهده PowerShell قرار دهید و فقط حروف ابتدایی دستور را تا زمانی که قابل تمیز دادن باشد وارد کنید.



./Active Directory Provider


PowerShell دارای یک Provider برای Active Directory است. ابتدایی ترین مزیت آن این است که با استفاده از این Provider می توان به همان راحتی که فایل ها را در دیسک کاوش می کنید، در Active Directory کاوش کنید. برای دسترسی به PSDriver مربوط به Active Directory کافی است دستور زیر را وارد کنید:

cd AD:



همانطور که مشاهده می کنید خط Prompt به AD تغییر می کند و AD اشاره به Root Directory Service Entry یا همان RootDSE دارد. اکنون با دستور Dir می توانید لیست محتویات را مشاهده کنید و با دستور cd می توانید به شاخته های مختلف بروید. در اینجا می خواهیم در OU=Sales یک OU جدید برای مسئولین قرارداد ایجاد کنیم:

cd AD:
cd "dc=erfantaheri,dc=com"
cd "ou=Sales"
New-Item -Name "ou=Contractors" –ItemType organizationalUnit

همچنین می توان با استفاده از پارامتر path بدون انتقال به شاخته مورد نظر مستقیما در مسیر مطلوب آیتم را ایجاد کرد. با استفاده از Alias ها دستور بسیار کوتاه تر از این می تواند باشد.

New-Item -Name "ou=Contractors" –ItemType organizationalUnit –path “ou=sales, DC=erfantaheri, DC=com”

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]






.

.

[Azad/]

مشاهده مشخصات کاربران و تغییر دادن آنها



اگر در قسمت users " از hamrahanit.local " Active Directory users and computers روی یک کاربر کلیک راست کرده و گزینه properties راانتخاب نمائید، پنجره جدیدی ظاهر شده که در آن مشخصات کامل آن کاربر را دیده و می توانید آنها را تغییر دهید.





برگه account :شامل logon name . password و accont flag ها است

برگه های general . adress . telephone . organization : برگه general به نمایش میزاره properies نام رو زمانی که شما ایجاد میکنید ابجکت کاربر را. بعلاوه توضیحات اولیه و اطلاعات contact
برگه های telephone و address اطلاعات جزییتری از contact را به نمایش میزارند

برگه telephone همچنین شامل فیلد note هست
برگه organization نمایش میده job title . departemant company و ارتباطات سازمانی را

برگه profile : در اینجا شما میتونید پیکربندی کنید profile path . login script و home folder کاربران را.

برگه member of tab : شما میتونید اضافه و حذف کنید کاربر را از گروه و تغییر بدید گروه اصلی کاربر را

برگه dial-in : شما میتونید فعال کنید و پیکربندی کنید permission remote access رو برای کاربران

برگه com+ شما اختصاص میدهید کاربران اکتیو دایرکتوری رو به بخش set
این ویزگی تسهیل میبخشد مدیریت توزیع برنامه های کاربردی










.

[Azad/]

مدیریت attribute های چندین کاربر :

ویرایش چندین کاربر با هم :


انتخاب کنید چندین کاربر را با نگه داشتن کلید ctrl و انتخاب انها و بعد properties را انتخاب کنید





زبانه Account – گزینه Logon Hours:

اگر روی این گزینه کلیه کنید پنجره ای ظاهر خواهد شد. این پنجره به شما نشان می دهد که این کاربر در چه ساعاتی از شبانه روز در یک هفته اجازه logon کردن به Domain را دارد، شما این محدودیت را به اعضای هر ساعت در شبانه روز و هر روز در هفته می توانید تعیین کنید.

خانه هایی که به رنگ آبی پر شده اند بیانگر این می باشند که در آن ساعت و در آن روز کاربر اجازه logon کردن دارد. شما به راحتی می توانید با کلیک کردن روی یک خانه و یا select کردن جمعی از خانه های آن را به رنگ آبی (به منزله اجازه دادن برای logon شدن) و یا به رنگ سفید (به منزله اجازه ندادن برای logon شدن) در آورید. و توجه کنید که رنگ تمام خانه هادر حالت پیش فرض، آبی رنگ می باشند.

زبانه Account- گزینه ... Log on to:

با کلیک کردن روی این گزینه پنجره ای نمایش داده می شود:

در این پنجره تنظیمات پیش فرض طوری انجام شده که کاربر مربوط، با کلیک کردن از روی هر کامپیوتری به logon, Domain شود. شما با انتخاب گزینه The Following computer می توانید برای کاربر محدودیت ایجاد کنید تا فقط از روی کامپیوترهایی که مدنظر شما می باشد بتواند logon کند. برای انجام این کار در قسمت Computer اسامی کامپیوترها را یک به یک نوشته و با فشار دادن دکمه add آنها را به لیست اضافه کنید.

برگه Account- بخش Account expires:

توسط این گزینه شما می توانید محدودیت زمانی برای فعال بودن کاربر تعریف نمائید. تنظیم پیش فرض این بخش روی گزینه Never می باشد.

بدین معنی که اعتبار این کاربر منقضی نخواهد شد. شما می توانید به انتخاب گزینه End of و انتخاب تاریخ از لیست و تقویم مقابل، یک تاریخ انقضا برای کاربر انتخاب کنید.











.

[Azad/]

سیاستهای کلمه عبور



سیاستهای کلمه عبور چگونگی برخورد با کلمه عبور را کنترل می کند. برای ویرایش سیاستها بر روی آنها دو بار کلیک نمایید و اطلاعات مورد نیاز را ویرایش نمایید. مهمترین اطلاعات مورد استفاده در سیاستهای کلمه عبور به شرح زیر می باشد:


· Enforce password history : این سیاست به ویندوز 2003 سرور می گوید کلمه عبوری را که کاربران اخیرا مورد استفاده قرار داده اند را به خاطر بسپارید. کاربر حق استفاده از کلمات عبور قبلی رانخواهد داشت. در عوض،هر وقت آنها بخواهند کلمه عبور را عوض نمایند، بایستی کلمه عبور جدید انتخاب نمایند. شما می توانید مشخص نمایید چند کلمه عبور قدیمی به خاطر سپرده شود.


· Maximum password age : حداکثر روزه های را که کاربر می تواند کلمه عبور را بدون تغییر نگه دارد را مشخص نمایید. موقعی که آن تعداد روز سپری شد، کاربر بایستی کلمه عبورش را عوض نمایید.
· Minimum password age: حداقل روزی را که یک کلمه عبور بایستی بدون تغییر بماند را مشخص نمایید.


· Minimum password length: کلمات عبور کوتاه به راحتی توسط هکرها حدس زده می شود. می توانید کلمات عبور را با محدود کردن حداقل طول کلمه عبور، قابل اطمینان تر نمایید حداقل طول کلمه عبور معمولا بین 6 تا 10 کاراکتر می باشد. حدس زدن کلمات عبور طولانی سخت تر از کلمات عبور کوتاه می باشد. یقینا به خاطر سپردن کلمات عبور طولانی نیز سخت تر می باشد، بنابراین حداقل طول کلمات عبور را بیشتر از 10 قرار ندهید. (در بیشتر مورد کاربران دوست دارند با کلمه عبوری کوتاهتر از حداقل طول کلمه عبور به سیستم وارد شوند.)


نکته: با ترکیب سیاستهای فوق شما می توانید مطمئن شود که کاربران در همه زمانها کلمه عبورشان را از نو ایجاد می کنند. برای مثال، شما می توانید سابقه کلمه عبور را 10، ماکزیمم عمر آن را 30 روز و حداقل عمر آن را 25 روز قرار دهید ومطمئن باشید کاربران هر ماه کلمه عبورشان از نو ایجاد می گردد.


طراحی خوب سیاست های کلمه عبور باعث می شود که حدس زدن کلمه عبور برای هکرها مشکل باشد و کاربران به طور متوالی کلمه عبور را تعویض نمایند. این دوکار باعث می شود حدس زدن کلمه عبور کاربران و نفوذ به سرور بر ای هکرها مشکل گردد.


توجه! سیاستهای کلمه عبور برای سرورهای عضو و standalone به صورت تکی انجام می گیرد. اگر کاربران دارای حساب کاربری بر روی چندین سرور باشند. احتمالا آنها از کلمه عبوری یکسانی استفاده خواهند کرد. سیاستهای کلمه عبور یکسانی را برای سرورها اعمال نمایید.





.

[Azad/]

سیاستهای lock کردن حساب کاربری



اگر هکر بخواهد از طریق حدس زدن کلمه عبور به کامپیوترتان نفوذ نماید، بایستی چند بار با کلمات عبور مختلف تلاش نماید. ویندوز 2003 می تواند تعداد تلاشهای ناموفق یک حساب کاربری با کلمه عبور غیر معتبر را پیگیری نماید وبرای جلوگیری از نفوذ آینده هکر از طریق حدس زدن کلمه عبور، به منظور lock نمودن آن حساب کاربری پیکربندی شود. این پیکربندی از طریق Account Lockout policy موجود در برنامه Local security policy صورت می گیرد به مانند سیاستهای کلمه عبور، سیاست lock نمودن حساب کاربری می تواند ویرایش شود. بر روی سیاست مورد نظر دو با کلیک نماییدو اطلاعات مورد نیاز را ویرایش نمایید. مهمترین این اطلاعات شامل موارد زیر می باشد.


· Account Lockout threshold: این سیاست در ویندوز 2003 سرور مشخص می کند یک کاربری چند بار به کلمه عبور اشتباه می تواند تلاش نماید. بعد از اینکه تعداد تلاشها از حد آستانه سپری شد، حساب کاربری lock می شود. برای مثال، باتنظیم این سیاست به 3، می توانید مطمئن باشید که یک حساب کاربری بعد از وارد نمودن سه کلمه عبور اشتباه پشت سر هم lock می گردد. مقدار این سیاست را خیلی کوچک در نظر نگیرید، زیرا پس از مدتی، بسیاری از حسابهای کاربری Lock می شوند. از طرف دیگر بالا بودن مقدار این سیاست به هکرها امکان تلاش بیشتری را می دهد. یک انتخاب خوب برای این سیاست بین 3 تا 5 تلاش می باشد.


· Account lockout duration: این سیاست مدت lock ماندن یک حساب کاربری را نشان می دهد. شما می توانید مدتی را انتخاب نمایید یا مقدار آن را صفر قرار دهید تا از حالت Lock در آوردن یک حساب کاربری به صورت دستی انجام گیرد.


وقتی حساب کاربری lock می گردد، از برنامه Computer Management به منظور فعال نمودن حساب کاربری می توانید استفاده نمایید. همان طوری که در شکل مشاهده می کنید حساب کاربری کاربران lock شده با آیکن خاصی نشان داده می شود. به راحتی بر روی حساب کاربری مورد نظرتان کلیک راست نمایید و از منوی popup ظاهر شده گزینه properties را انتخاب نمایید و به منظور Unlock کردن کاربر check box مربوط به Account Is Locked Out را حذف نمایید.





,

[Azad/]

.


مدیریت گروه ها در Active Directory

به دلیل تعدد تعداد User ها مدیریت آن ها عملا غیر ممکن است. به همین دلیل از گروه هایی استفاده می کنیم تا مدیریت ها در محیط اکتیو دایرکتوری ساده تر صورت گیرد. از طرف دیگر، با گذر زمان، کاربران، کامپیوتر ها و سرویس ها در محیط اکتیو دایرکتوری تغییر می کنند و در صورت مدیریت مستقیم روی کاربران، سبب دوباره کاری می شود. به عنوان مثال ممکن است در سازمان، حتی تنها یک کاربر خاص به دسترسی هایی که سایر کاربران ندارند لازم داشته باشد. در این شرایط هم حتی باید از یک Group که تنها همان یک کاربر عضو آن است استفاده شود.

دلیل این امر آن است که در صورت تغییر کاربر با شخص دیگری، از دوباره کاری و پیچیده شدن تعیین دسترسی ها جلوگیری به عمل آید. از طرف دیگر، تصور کنید در دپارتمان فروش، ۱۰۰ کاربر باید به ۱۰ Shared Folder مختلف در سه سرور مختلف دسترسی داشته باشند. ضمن آنکه تعیین دسترسی کاربر و تغییرات احتمالی بدون استفاده از گروه ها، عملیات طاقت فرسایی است، با توجه به آنکه هر تغییر در ACL فایل ها، سبب می شود Archive Flag فایل ۱ شود، سبب خواهد شد که عملیات Backup با چالش جدی رو به رو شود.

اکنون تصور کنید که علاوه بر کاربران دپارتمان فروش، که آن ها را یک گروه در نظر می گیریم، کاربران گروه های مشاوران فروش و بخش بازاریابی هم لازم است به همان Shared Folder ها دسترسی داشته باشند. بنابراین این باید در هر Shared Folder سه مجوز دسترسی مختلف تعیین کرد. اکنون اگر لازم باشد هشت مشاور ارشد که در گروه های متمایزی عضو هستند، نیز به همان Shared Folder ها دسترسی داشته باشند لازم است مجددا ACL تغییر کند.

در اینجا به راحتی حدس زده اید که گروه ها تنها نباید شامل کاربران باشند و در دو مرحله باید طراحی صورت گیرد تا مدیریت موثر تر باشد. ابتدا کاربران را بر اساس وظیفه سازمانی در گروه های معین قرار می گیرند و سپس گروه دیگری که شامل گروه هایی باشد که لازم است به آن ۱۰ Shared Folder دسترسی داشته باشند. این گروه را در تعیین ACL روی Shared Folder ها استفاده می کنیم. به عبارت دیگر، دلیل وجود گروه اول، تعدد کاربران بود، اما دلیل وجود گروه دوم، نا متمرکز بودن و تعدد ACL ها بود.

معمولا گروه های این چنینی را با پسوند ACL_ نمایش می دهیم تا از سایر گروه ها متمایز باشد. گفتی است در سناریوی فوق می توان از راهکارهای مدیریت فایل نیز استفاده کرد که در اینجا مورد بحث نیست.








.

[Azad/]

اما Group Scope های ما :

Local : این گروه توانایی پذیرفتن اعضا از تمامی Domain های Forest خود و همچنین دومین های سایر Forest ها که با آنها Trust دارند را دارا میباشد.

محدوده حرکتی این Scope هم فقط داخل Domain خودش هست و از طریق سایر Domain ها دیده نمیشه.


Global :این گروه هم فقط از دومین خود عضو پذیری دارد اما محدوده ی حرکتی وسیعی دارن یعنی در تمامی دومین های Forest خود و سایر Forest هایی که با آنها Trust دارد قابل دسترسی میباشد.


Universal : این گروه نیز توانایی عضو پذیری از تمامی دومی های Forest خود را دارد و محدودهی حرکتی مشابه با Global Scope دارد .یعنی میتواند به تمامی دومین های Forest خود و سایر دومین ها در Forest های دیگر در صورت وجود Trust حرکت کند.

مثال کاربردی از این گروه ها :
شما فرض کنید یک فایل سرور در Domain A و Forest A دارید و نیاز دارید اعضایی از Domain B در Forest B به این فایل ها دسترسی داشته باشن .خوب شما میتونید از این گرو ها برای ارائه Permission به گروهی از کاربران دومین مورد نظر برای دسترسی به فایل ها ایجاد کنید .


برای تعیین حوزه گروه ها از سه فاکتور زیر استفاده می شود:

۱) Replication: گروه کجا معین شده و در کجا Replicate می شود؟

۲) Membership: چه اشیایی می توانند در گروه عضو شوند؟

۳) Availability: در کجا گروه می تواند مورد استفاده قرار گیرد؟




امکان تبدیل مستقیم حوزه گروه ها به صورت زیر وجود دارد:

Global به Universal
Domain Local به Universal
Universal به Global
Universal به Domain Local


*. برای تبدیل هایی که به صورت مستقیم انجام نمی شود، می توان ابتدا به حوزه قابل تبدیل تبدیل گردد و سپس به حوزه مطلوب تبدیل شود. توجه شود که با آنکه امکان تبدیل وجود دارد اما اگر عضویت هایی بر خلاف عضویت های حوزه مطلوب وجود داشته باشد، امکان تبدیل وجود نخواهد داشت. بنابراین لازم است پیش از تبدیل، عضویت ها اصلاح شود.

گروه Universal منعطف ترین حوزه است اما با یک هزینه. از آنجایی که در GC اطلاعات اعضا ذخیره می شود، اگر Functional Level (حوزه عملکرد دامین) Windows Server 2000 باشد تمام Member List باید Replicate شود. البته در Windows Server 2003 به دلیل استفاده از linked-Value Replication فقط تغییرات منتقل می شود. اگر DC دارای Windows Server 2003 / 2008 باشد، دارای Universal Group Membership Caching است. اگر Universal Group Membership Caching فعال باشد، SID های گروه های Universal و Global در خصیصه ی MSDS-Cached-Membership اشیاء User و Computer نگه داری می شود. عمل Cache در اولین logon صورت می گیرد، بنابراین اگر اولین logon کاربر در زمان down بودن GC باشد، کاربر نمی تواند logon کند. این ویژگی به Functional Level وابسته نیست و باید برای هر Site در اکتیودایرکتوری فعال باشد. اطلاعات Cache شده هر هشت ساعت یک بار به صورت پیش فرض به روز می شوند. برای یک کاربر منحصر به فرد امکان Force کردن به روز رسانی از طریق ADSI Edit وجود دارد. اگر اطلاعات برای هفت روز نتواند به روز شود، اطلاعات قدیمی در نظر گرفته شده و discard می شود. بنابراین برای Logon به GC نیاز است.


Restart کردن یک DC باعث Refresh شدن تمام اطلاعات می شود. برای Refresh شدن اطلاعات بدون Restart شدن DC در تمام DC ها مقدار updateCachedMembership در RootDSE را به ۱ باید تغییر داد. (با استفاده از LDP.EXE) هر دو متد باید روی تمام DC های یک سایت صورت گیرد.
استراتژی مدیریت گروه ها

پیش از این به محدودیت های تکنیکال در گروه ها اشاره شد. اکنون به دنبال یک استراتژی کارا هستیم. همانطور که دیدید، برای مدیریت موثر تر و محدودیت ها لازم است گروه ها عضو گروه های دیگر شوند، به فرآیند اضافه کردن یک گروه به گروه دیگر اصطلاحا Nesting گفته می شود. با متد ساده زیر، می توان به بهترین استراتژی دست یافت: (حهت سهولت در به خاطر سپاری به این شکل نوشته شده ا





.

[Azad/]

گروه ها در ویندوز سرور 2008

گروه ها مجموعه ای از اشیاء مانند ( کاربران ، کامپیوترها ، چاپگرها و حتی گروه های دیگر ) هستند که از آن برای دادن مجوزهای دسترسی به منابع شبکه به مجموعه ای از اشیاء به شکل همزمان استفاده می شود. ما در ویندوز سرور 2008 دو نوع گروه داریم، یکی گروه های محلی و دیگری گرو های دامنه .


گروه های محلی

هنگامی که شما یک کامپیوتر ویندوز سرور 2008 را بعنوان یک سرویس دهنده عضو ، مثلا بعنوان سرویس دهنده DHCP یا سرویس دهنده DNS ( و نه به عنوان دامین کنترولر ) پیکربندی می نمایید ، تعدادی گروه محلی بصورت اتوماتیک در آن ایجاد می شود به طوری که می توان به کاربرانی که عضو آن گروه ها هستند اجازه داد اعمالی که به آن گروه ها واگذار شده است را انجام دهند.می توان کاربران را عضو گرو های محلی پیش فرض کرد. همچنین می توان گره های محلی جدیدی را در کامپیوتر ایجاد نمود و به گروه خاصی از کاربران ، حقوق خاصی برای انجام بعضی از کارها اعطا کرد و یا اجازه دسترسی به منابع خاصی از شبکه را به آنها داد.اما باید توجه کرد که دلیل استفاده از گروه ها بیشتر محدود کردن اعمال کاربران بر روی سرویس دهنده است و نه دادن حق انجام اعمال . یعنی اگرچه می توان با استفاده از گروه ها به کاربران خاصی اجازه انجام برخی از کارهای مدیریتی را داد ولی بهتر است که از گروه ها برای محدود کردن اجازه دسترسی کاربران به منابع شبکه استفاده کرد.

هنگامی که یک کامپیوتر ویندوز سرور 2008 را بعنوان یک سرویس دهنده عضو در نظر می گیرید در آن تعدادی گروه محلی پیش فرض ایجاد می شود که هر یک از آن ها دارای حقوق مدیریتی خاصی می باشند . گروه های محلی پیش فرض را می توان در پوشه Groups واقع در کنسول مدیریتی Local Users and Groups Management مشاهده نمایید.

بعضی از مهمترین گروه های پیش فرضی که در این پوشه قرار دارند به قرار زیر می باشد :

• Administrators : اعضای این گروه ، حقوق نامحدودی برای دستکاری یا مدیریت محلی یا از راه دور کامپیوتر دارند. به طور پیش فرض Administrator محلی ( Local Administrator ) و اعضای گروه Domain Admins ، عضو این گروه هستند.

• Guests : فقط اکانت Guest عضو این گروه است. ولی در ویندوز سرور 2008 اکانت Guest به طور پش فرض غیر فعال است. اعضای این گروه هیچ گونه حقوق یا جواز پیش فرضی ندارند. اگر اکانت Guest را فعال کنید و مهمانی به کامپیوتر وارد شود، در زمان ورود او یک پروفایل موقتی ایجاد می گردد که در زمان خروج پاک می شود.

• Remote Desktop Users : اعضای این گروه می توانند از راه دور به سرویس دهنده وارد شوند.

• Users : اعضای این گروه می توانند اعمال مقدماتی همچون اجرای برنامه ها و استفاده از چاپگرها را انجام دهند. اعضای این گروه نمی توانند منابع اشتراکی یا چاپگر ایجاد کنند.(ولی می توانند به چاپگرهای شبکه وصل شوند تا آن ها را به صورت محلی نصب کنند). همه ی اکانت های کاربری که در دامنه ایجاد می شوند عضو این گروه هستند.

• Telnet Clients : اعضای این گروه می توانند به سرویس Telnet Server کامپیوتر، اگر در حال اجرا باشد، استفاده کنند. به طور پش فرض سرویس Telnet Server غیرفعال است.

.