USER ACCOUNT & GROUP

General tab sekmesinde istenilen değişiklik yapılıp, OK butonuna basılır. Bu kısımda ekstradan ve default olarak aktif olmayan, bir seçenek daha vardır; Account is locked out. Daha sonra irdeleyeceğimiz Policy'ler sayesinde bir kullanıcı, belli bir sayıda yanlış şifre girerse hesabının kitlenmesini sağlayabileceğiz. İşte bir kullanıcı hesabı bu sebepten dolayı kitlenirse bu kutu otomatik olarak dolacaktır. Hesabı manual olarak açmak için, bu kutuyu boşaltmak gerekir.

Gelen uyarı ekranında, "Bu özelliği sadece kullanıcı şifresini unuttuğu ve şifre resetlemeye hakkı olmadığı zaman kullanın" mesajını okuduktan sonra, Proceed butonuna basınız.
Bir kullanıcı şifresini unuttu ve sisteme giremiyorsa, şifreyi de kullanıcı kendisi vermiş ise; sistem yöneticisi olarak siz de bu şifreyi bilemezsiniz. Veya çeşitli sebeplerden dolayı şifreyi değiştirmeniz gerekebilir. Bunun için, kullanıcı adı üzerinde sağ tuşa basılarak Set Password... seçeneğine tıklanır.
 

 

Gelen dialog kutusuna yeni vereceğiniz şifreyi hem New password, hem de Confirm password kısmına yazıp, OK butonuna basınız. Eğer iki yere yazdığınız karakterler aynı ise, aşağıdaki mesaj ile karşılaşırsınız ve başarı ile yeni şifreyi vermiş olursunuz. Yok bu mesaj gelmez ise yeniden yazınız, demekki iki alana yazılan karakterler birbirini tutmuyor


Kullanıcı adının (user name) değiştirilmesi için; üzerinde sağ tuşa basılarak
Rename seçeneğine, silmek için ise; yine kullanıcı üzerinde sağ tuşa basılarak
Delete seçeneğine tıklanır.
Şimdi test edelim. Oluşturduğumuz kullanıcı adı ile logon olarak, bu sıradan
kullanıcı ile neler yapamayacağımızı şöyle birkaç uygulama ile gözden geçirelim.
Bunun için; CTRL+ALT+DEL tuşlarına basarak, gelen dialog kutusundan Log
Off butonuna tıklayalım.
Gelen Log On ekranına; yeni oluşturduğumuz kullanıcı adını ve şifresini
girerek, OK buttonuna basalım.
Şimdi gidip, yeni bir kullanıcı oluşturmaya çalışınız (Administrative Tools
seçeneğine Control Panel içinden ulaşınız.).
İlk etapta sizi heveslendiriyor ancak, Create butonuna basınca bu işe yetkinizin olmadığını belirten, aşağıdaki mesajı karşınıza çıkartıyor.

Control Panel içinden Add or Remove Programs seçeneğine tıklayarak, Add/ Remove Windows Components seçeneğini tıklayınız.
Ama olumlu sonuc cikmiycaktir!

Sistemin saatini değiştirmeye çalışınız. Sıradan kullanıcı çalışır ve başka hiçbir şey yapamaz. Bunlar önemli bilgilerdir. Onun için, kendi kullanıcı hesabınızı ve şifrenizi kimse bilmemelidir, yoksa oluşacak problemler sizi sorumlulugunuzdadir.
Son olarak Start menüsünden Shut Down seçeneğine tıklayıp, buna da hakkınız olmadığını görünüz. Karşınıza gelen ekranda sadece, Log off hakkınız olduğunu göreceksiniz.
Tekrar Administrator olarak, sisteme logon olalım.
Sıradan kullanıcı, default olarak Users grubuna üyedir. Bu gruptan gelen haklar nedeni ile birçok şey yapamaz. Ancak yetkili gruplara dahil edilerek, hakları genişletilebilir. Gruplar konusunda, bu yapıyı detaylı olarak inceleyeceğiz.

USER ACCOUNT ÖZELLİKLERİ:

General tab sekmesindeki özellikleri inceledik. Şimdi, diğer tab sekmesinde
bulunan özellikleri inceleyelim.

MEMBER OF

Bu kısımda kullanıcının üye olduğu gruplar listelenir. Default olarak oluşturulan bir kullanıcı, Users yerleşik grubuna üyedir.
Ancak oluşturduğunuz kullanıcıya daha fazla yetki verilmek istenirse; Add butonuna basılarak istenilen gruplara dahil edilebilir.
Bir kullanıcı birden fazla gruba dahil olabilir. Gruplar   ve   özelliklerini, ilerleyen      konularımızda detaylı irdeleyeceğiz.

PROFİLE

Bu kısımda User Profile ve Home Folder olmak üzere, iki önemli yapı vardır.
Kullanıcı profil ayarları veya açılışta bir Script dosyasının çalışması için User
Profile özelliklerinden yararlanılırken, kullanıcı için belgelerini tutmak amacı ile
merkezi  veya  lokal  bir  klasör  oluşturulmasında  ise;  Home  Folder bölümü
kullanılır.
Bu iki yapıyı detaylı olarak inceleyeceğiz.
Diğer tab sekmeleri olan Environment, Sessions, Terminal Service Profiles ve
Remote Control özellikleri Terminal Servis'e ait özellikler olup, Terminal Service konumuzda inceleyeceğiz. Dial-in tab sekmesi ise; RRAS konusunda incelenecektir.

USER PROFILES

Dört çeşit kullanıcı profili vardır:
Default User Profile: üm User profillerinin temelini oluşturur. Kullanıcı, sisteme ilk logon olduğu zaman bu profil ile karşılaşır. İlk uygulamada logon olduğunuz zaman, sanki yeni kurulmuş gibi yeni bir masaüstü geldi. İşte buradaki bilgiler Default User Profile kısmından gelir.
Eğer yeni bir kullanıcı oluşturduğunuz zaman, bunun profilinin standart ayarlar dışında olmasını istiyorsanız ve hem önceki hem de bundan sonraki yeni kullanıcılara etki etmesini istiyorsanız;
Sürücüadı\ Documents and Setting\ AH Users klasörü açılır.
Hangi kısımını yapılandırmak istiyorsanız, o kışıma ait klasör içine girilir. Örneğin: Her yeni kullanıcının masaüstünde "bunukullan" isimli bir klasörü olsun (Bu ayar daha önceki kullanıcılara da etki eder.). Bunun için Desktop klasörü açılarak içinde, "bunukullan" isimli bir klasör oluşturalım.
Yeni bir kullanıcı oluşturup, bu kullanıcı ile log on olduğunuz zaman "bunukullan" isimli klasörün; otomatik olarak masaüstünde olduğunu göreceksiniz.
Test ettikten sonra tekrar, yönetici hesabı ile log on olalım.

E£cr aynı işlemin sadece yeni kullanıcılar için geçerli olmasını istiyorsanız, o zaman tek fark Ali Users yerine Default User klasörü ile aynı işlemi yapmanız gerekir. Böylelikle daha önce oluşturulan kullanıcılara etki etmeyecektir. Eğer bir standart belirlemek istiyorsanız; bir kullanıcı oluşturup profil ayarlarını yapıp, içindekileri Default User klasörüne kopyalarsanız bundan sonra oluşacak kullanıcılar, hep aynı standarta sahip profil ile oluşacaktır.

 

Default User klasörü normal şartlarda gizlidir. Eğer sizin bilgisayarınızda gözükmüyorsa, yukarıdaki ekranda Tools menusunun Folder Options alt menüsüne tıklayıp, View tab sekmesine geçiniz ve listeden Show hidden files and folders seçeneğini basınız

II ) Local User Profile: Kullanıcı, sisteme ilk logon olduğu zaman oluşan profildir. ...VDocument and SettingsYUsernanıe adı ile sistemde tutulur. Burada gelen ilk bilgiler; Default User Profile bilgileridir.
Bunu test etmek için:
"Azmanyak" isimli bir kullanıcı oluşturunuz.
Bu kullanıcı ile logon olunuz.
Tekrar yönetici hesabı ile log on olup, Document and Settings klasörünü
açarak, "azmanyak" isimli bir klasör oluştuğunu gözlemleyiniz.

Roaming User Profile: Sistem yöneticisi(Administrator) tarafından oluşturulur ve bir Server üzerinde tüm profiller tutulur. Bu sayede bir kullanıcı, herhangi bir bilgisayardan log on olunca; hep kendi profili ile karşılaşır. Bu kullanıcının profilinde değişiklik yapma hakkı vardır. Bu, özellikle gezici teknik servis ve yöneticiler için çok önemlidir. Kendi profil ayarları (masaüstü vb..) normalde kendi bilgisayarındaki Documents and Settings içinde tutulur. Bu yöntem ile bir merkezde tutularak hangi bilgisayardan girerse girsin, kendi profil ayarlarınına ulaşması sağlanır. Gezginler için iyidir.
Nasıl Yapılır?
Bunu tam test edebilmeniz için, Netsvork ortamında denemeniz gerekir. Ayrıca  ilk Netvvork  uygulaması  yapacağımız  için,   bilgisayarların  birbirlerini görmesi   gerekmektedir.   Bilgisayarların   birbirleri   ile   iletişimini   TCP/IP   ile sağlayacağız. Tabiiki bir Network kartı ve gerekli bağlantının olması gerekir.

Daha sonra detaylı olarak anlatacağımız bu yapıda, şimdilik karmaşık ayarlar kısmına girmeyeceğiz. Bu bölümde tüm Network uygulamalarının sorunsuz çalışmasını sağlamak için, Start/ Connect To / Show ali connections seçeneğine girip, Local Area Connection üzerinde sağ tuşa basarak, Properties seçeneğine tıklayınız. Gelen ekranda Internet Protocol (TCP/IP) seçeneğini seçip Properties butonuna tıklayın ve Obtain an İP address automatically seçeneğinin işaretli  olduğunu konrol edin. Eğer temel network bilginiz varsa ve çalışan bir sistem ise yani yeniden kurmadıysanız o zaman bunu yapmanıza gerek kalmayacaktır.
Şimdi Roaming User Profile oluşturalım;
1 ) Roaming User Profile bilgisinin tutulacağı Server üzerinde bir klasör oluşturun ve paylaştırın.Test için kullanıcı adına Full Control hakkı verin.

2) Kullanıcının özellikler kısmına girerek  Profile tabına geçin ve User profile kımında bulunan Profile path kısmına \\serveradı\paylaşımadi\%username% yazın.Burda server adı kısmına profil bilgisayarını tutan bilgisayarın adı,paylaşımadı yerine bu bilginin bulunduğu klasörün paylaşım adı yazılır.En sona direk kullanıcı adı yazılabilir.Ancak kopyalama durumunda buraya girerek yeni kullanıcılar için değişiklik yapmamak için %username% yazılır.Daha sonra tekrar bu alana girdiğinizde otomatik olarak kullanıcı adının yazıldığını görebilirsiniz.
İşlem tamamlanınca OK butonuna basılır.

Artık hangi bilgisayardan sisteme log on olursanız olun bu kullanıcıya ait profil
hep aynı kalacaktır.Çünkü bu yapıyı merkezleştirmiş olduk.Bu yapı özellikle
domain kullanıcı hesaplan için kullanılır.Eğer lokal sistem hesabı için
kullanılacak ise tüm bilgisayaralrda bu kullanıcı tanımlanmalı ve aynı yol
verilmelidir ki bu da kullanışlı değildir.Ayrıca birazdan anlatacağımız Mandatory
Roaming Profile içinde bu yapı gereklidir.
Bu ayarları yaptığınız kullanıcı adı ile siteme log on olun, bağlantı varsa
belirtilen adresdeki profil bilgisini okuyarak başarı ile giriş yapılır, eğer bağlantıda
bir sorun varsa o zaman lokal profil bilgisini okuyarak giriş yapılır.
Tekrar Administrator ile log on olun.

Bu kullanıcının profili bulunduğu yer olan ilgili klasöre girerseniz bu kullanıcıya ait bir klasörün oluştuğunu görebilirsiniz.

Bu klasöre normalde bu kullanıcı dışında hiç kimsenin girme hakkı yoktur, ancak siz bir administartor olarak bu klasörün sahipliğini alarak içini görebilirsiniz.Administrator'dan hiç bir şey gizlenemez.Hazır sahiplik demiş iken nasıl yapacağımızı görelim.
Bu klasöre iki kez tıklayarak açmaya çalıştığınız da ve açmaya hakkınız
olmadığına dair bir mesaj ile karşılaştığınızda eğer sistem yöneticisiyseniz
paniğe kapılmanıza gerek yoktur, sahipliğini alarak bu klasörü
açabilirsiziniz.
Bunu için klasör üzerinde sağ tuşa basılarak Properties seçeneğine
tıklanır.

 

Security tab sekmesine
geçilerek gelen kısımdan
Advanced butonuna
tıklanır.
Gelen dialog kutusundan
Owner kısmında geçilir ve
eğer yönetici olarak sizin
adınız varsa seçilir, yoksa
Others users.. kısmına
girilerek kullanıcı adınız
eklenir.Ardından Replace
owner on subcontainers
and object kutusu
doldurularak OK

Roaming Mandatory User Profile: System Administrator tarafından oluşturulur ve bir Server'da tutulur. Amaç; kullanıcının, profilinde yapacağı değişikliklere izin vermemesi. Kullanıcı, profilinde değişiklik yapsa bile bir sonraki Log On oluşunda, değişiklikten önceki profil ile karşılaşır. Yani aynen Roaming Profile gibidir. Tek fark; kullanıcının profil ayarlarında yaptığı bir değişiklik kalıcı olmaz, kullanıcı bir sonraki logon oluşunda yine eski profil bilgileri ile karşılaşır. Özellikle sık sık orayı burayı kurcalayarak sonradan sizi arayıp, Excel kısayolum yok diye feryat figan eden kullanıcılar için bire birdir.
Nasıl Yapılır?
Roaming Profîl'deki tüm adımlar yapılır.
2)         Kullanıcı   profil   bilgisinin  tutulduğu  klasöre   gidilerek,   gizli   dosya  olan
NTUSER.DAT dosyasının uzantısı değiştirilip, NTUSER.MAN yapılır.
(İstenirse   bu   işlem,   lokal   kullanıcı   profil   bilgisinin   tutulduğu   yerden   de
yapılabilir).

Test için; bu değişikliği yaptıktan sonra o kullanıcı adı ile log on olun, masaüstünde birkaç klasör oluşturun, duvar kağıdını değiştirin, görev çubuğunun yerini ve boyutunu değiştirin, daha sonra log off olup tekrar aynı kullanıcı ile log on olarak, yapılan değişikliklerin hiçbirinin kalıcı olmadığını gözlemleyiniz.
Eğer girerken hata mesajı ile karşılaşıyorsanız, gerekli izin hakkının olup olmadığını kontrol ediniz.

LOGON SCRİPT

 

Kullanıcı bilgisayarı açtığı zaman otomatik olarak, bir Batch
(toplu işlem) dosyası veya
Script dosyası çalıştırmak
istenilirse, Logon Script
özelliği kullanılır. Domain
logon özelliğinde
kullanılan bu yapı ile,
istediğiniz kullanıcılara
istediğiniz mesajları
verebilirsiniz.
Nasıl Yapılır?
NETLOGON klasörü
içinde istenilen Batch
veya Script dosyası
oluşturulur ve bir isim
verilerek kaydedilir.
NETLOGON bu tür dosyaların   çalıştığı   özel
bir klasör olup, Active Directory kısmında değineceğimiz bir yapıdır. Biz örneğimizde "ne.vbs" isimli bir script dosyası oluşturduk. Bunun görevi; kullanıcı, sisteme log on olurken günün tarihini ve saatini söyleyecek ve saat 08:00'i baz alarak geciktiği saat ve dakikayı bildirecek, bunun sonucunda maaşından ne kadar kesinti yapılacağını bildirecek. Script dosyaları için detaylı bilgiyi, Zirvedeki Beyinler serimizin 4. kitabı olan ASP.NET & XML kitabımızda bulabilirsiniz.
"Ne.vbs" isimli Script dosyamızı aşağıdaki gibi, bir Text dosyası içinde oluşturduk ve uzantısını vbs yaptık.
Daha sonra Logon Script kısmına bu dosyanın adını yazıp, bu kullanıcı ile Log On olarak çalışıp- çalışmadığını kontrol ettik.
Unutmayın! Bu yapı için oluşturulmuş bir Domain Local hesabı, en uygun şekilde çalışmasını sağlayacaktır.
"Ne.vbs" dosyasının içeriği;
dim d,s,ks,kd,k,dl
d=date
t=time
s=hour(time)
dl=minute(time)
ks=int(s-08)
kd=int(dl)
k=int(ks*6000000) + int(kd* 100000)
Msgbox("Sayın çalışan bu günün tarihi: " & d & Vbcrlf & "Saat: " & t _ & Vbcrlf & ks & " saat" & kd & " dakika " & " geç kaldın" & _ Vbcrlf & "Maaşından " & k & "TL kesiyorum" )
Test etmek için üzerine iki kez tıkladığımızda, aşağıdaki mesaj ile karşılaşırız.

HOME FOLDER:

Kullanıcı belgelerini merkezi bir yerde toplamak amacı ile kullanılır. Böylelikle Backup(Yedekleme) ve Restore(Geri yükleme) işlemleri daha verimli hale getirilir. Disk alanı daha verimli kullanılabilir. Kullanıcıya ait bilgisayardaki Netvvork trafiği azalmış olur.

Home Folder oluşturmak için:
Kullanıcı belgelerinin toplanacağı merkezde, bir klasör oluşturulup paylaşıma açılır. Uygun haklar verilir.

Kullanıcının Properties kısmından Profile tab sekmesi seçilir.

Home folder kısmında Connect seçeneği işaretlenerek, yandaki listeden bir sürücü harfi seçilir. Bu sürücü harfi; Home Folder ataması yapılan kullanıcının, bir sürücü gibi görünmesini sağlar. To kısmına ise; \\bilgisayardı\paylaşımadı\%username% yazılır ve OK butonuna basılır. Örnek:
Wyuksel2\merkezbelge\%username%
%username% yerine direkt kullanıcı
adı yazılabilir. Ancak birden fazla
kullanıcı varsa %username% yazıp
aynı satırı, copy- paste ile diğer
kullanıcılara       pratik    olarak
kopyalayabilirsiniz. Burada bulunan Local path kısmı kullanılarak, sadece o bilgisayarda bir yol verilebilir.

Home Folder atamas
yapılan kullanıcı ile Loj
On olarak My Computeı
açıldığında, bır
kullanıcıya ait hom<
folder, bir sürücü olaral
gözükecektir. Bunun içim
artıkbelgelerimiz
koyabiliriz. Bu belgelei
Home Folder'ın esa
bulunduğuyer
kaydolacaktır.Bun
kontrol etmek için; Home Folder bilgilerinin tutulacağı klasör açılarak, içindek klasör kontrol edilir.

USER ACCOUNT TEMPLATE:

Oluşturulan bir User Account'un kopyalanması ile aynı özelliğe sahi,; biıvok kullanıcının, kısa sürede oluşturulması sağlanabilir. Bu özellik, Local l'ier Account' larında mevcut değildir.
Neler kopyalanır/ kopyalanmaz?

Özellik	Açıklama
General	Hiçbiri kopyalanmaz.
Address	Street Address hariç, hepsi kopyalanır.
Account	Logon Name hariç, hepsi kopyalanır.
Profile	Hepsi(Eğer %username% kullanılmışsa)
Telephones	Hiçbiri kopyalanmaz.
Organization	Title hariç, hepsi kopyalanır.
Member Of	Hepsi kopyalanır.
Dial-in	Hiçbiri kopyalanmaz.
Environment	Hiçbiri kopyalanmaz.
Sessions	Hiçbiri kopyalanmaz.
Remote Control	Hiçbiri kopyalanmaz.
Terminal Services Profile	Hiçbiri kopyalanmaz.

GROUP:       

Gruplar, çok sayıda kullanıcıyı ifade ederler ve çok sayıda kullanıcının daha kolay yönetimini sağlayan birimlerdir. Özellikle ortak gereksinimleri olan kullanıcılar örneğin; Muhasebe bölümündeki kullanıcılar, bir grup olarak organize edilirler. Active Directory içinde iki tür grup oluşturulur: Security grupları, Distribution grupları. Bunun yanısıra bir de, grupların kapsamları vardır.
Her iki grup türü için de geçerli olan kapsam özellikleri, grupları üçe ayırır: Universal gruplar, Global gruplar ve Domain Local Gruplar.
Kullanıcılar, birden fazla grubun üyesi olabilirler.
Bir kullanıcı bir gruba üye olduğunda o grubun haklarından, bir sonraki log
on oluşu ile beraber yararlanmaya başlar.

WORKGROUP ve DOMAİN İÇERİSİNDEKİ GRUPLAR: 

WorkGroup içinde oluşturulan gruplar, local SAM içerisinde tutulur. Sadece lokal kaynakları açan, local grup söz konusudur. WorkGroupiarda kullanıcılar; local grup içine konur ve local gruba Permission atanır. A(Account), L(Local), P(Permission) kuralına göre çalışır. Ayrıca Administrators ve Power Users gibi Built-in(yerleşik) gruplar da WorkGroup yapısında bulunurlar.
Oysa Domain'lerde oluşan gruplar, Active Directory içinde tutulur. Ve yukarıda belirtilen tüm grupları ihtiva ederler. Her ne kadar burada, Domain içerisinde bulunan gruplara değinmeyeceksek de kısaca açıklama yapalım. Bunların kullanımı ile ilgili detayı, ACTİVE DİRECTORY bölümünde bulabilirsiniz.
Domain Local Group:
Aynı Domain'deki diğer Domain Local gruplarını da içerebilirler. Asıl amaç; kaynakların bu gruplara paylaştırılmasıdır. Kendi Domain'inden veya diğer Domain'lerden Global grupların veya Universal grupların, bu local gruba üye yapılması ile ilgili gruplama işlemi yapılır.
Global Group:   
Global grupların amacı; kullanıcıları gruplamaktır. Global gruplar, local gruplara üye olarak belli izinlerden yararlanırlar. Bir nevi bulunduğu Domain'deki kullanıcıları, başka bir Domain'deki local gruplara taşımak için kullanılır. Yalnız farklı Domain'den kullanıcılar içeremez, sadece kendi Domain'inden kullanıcı içerebilir.

Universal Group

Universal gruplar sadece Native Mod'da kullanılabilirler. Universal gruplar, WEVDOWS 2000- 2003 Netvvork'ünde herhangi bir WINDOWS 2000- 2003 Domain kullanıcılarını ve Global gruplarını içerebilirler. Bu yapıda A G DL P veya A U DL P kuralı işler.
Not: Bu konular, Active Directory dersinde daha detaylı işlenecektir.
Biz şimdi, bir WorkGroup yapısında bulunan Windows Server 2003 ve Windows     XP     Professional     içinde    nasıl    grup    oluşturacağımızı    ve
yapılandıracağımızı inceleyelim.

 

GRUP NASIL OLUŞTURULUR?        

256 karaktere kadar izin verilen grup isimleri, "/\[]:;| = ,+ *?<> gibi özel karakterler içeremez.

1 )Computer Management açılır.
Local Users and Groups kısmında Groups klasörüne tıklanır. Burada yerleşik
(built-in) grupları görebilirsiniz. Bunlar; çeşitli amaçlara göre kullanıcılara yetki
verilmek için kullanılır. Her kullanıcı oluşturulduğunda, otomatik olarak Users
grubuna dahil edilir. Örneğin; Yazılardan sorumlu bir kullanıcı oluşturulacak ise
bu, Print Operators grubuna dahil edilebilir.

Yeni grup oluşturmak için; Groups klasörü üzerinde sağ tuşa basılarak, New Group seçeneğine tıklanır.

Gelen ekranda Group name kısmına, bu grup için verilecek grup ismi ve Description kısmına ise opsiyonel olarak açıklama yazılır. Eğer oluşturma anında gruba üye eklenecekse, o zaman Add butonuna basılarak, istenen gruplar eklenebilir. WorkGroup yapısında oluşturduğunuz bir grubun üyesi, sadece kullanıcılar olabilir. Başka bir grup eklenemez. Ayrıca tüm kullanıcılar, otomatik olarak Everyone grubuna üyedirler.

Sonradan grup üyeliklerini yapılandırmak için; grup adı üzerinde sağ tuşa basılarak, Add to Group seçeneğine tıklanır ve gelen ekrandan ekleme veya silme yapılabilir.

BUILT-IN (YERLEŞİK) GRUPLAR:

Member Server veya Stand-Alone ile çalışan Windows Server 2003 içinde
bulunan yerleşik grupları, bir tablo içinde inceleyelim.
Grup     Açıklama         
Administrators   Full    Control    hakkına    sahip    olan    bu    grubun
kullanıcıları, tüm  izin ve  grup üyelerini belirleme hakkına yani, sistem üzerinde tam yetkiye sahiptir.
Domain'e katılınca Domain Admins grubu, bu grubu otomatik olarak ekler.
Guests Bu grubun kullanıcısı log on olunca, geçici bir profil
oluşur ve log off olduğunda bu profil silinir.
Default olarak bu grup içinde bulunan Guest hesabı, Disable durumdadır.
Performance Log           Administrators  grubunun üyesi olmadan,  local ve
Users   uzaktaki bilgisayarlara ait performans counter, alert
ve log özelliklerini yönetme hakkına sahip kullanıcıları barındırır.
Performance Monitör     Bu grubun üyeleri  performance counter'ları, hem
Users   lokal hem de uzak bilgisayarlar için yönetir.

Power Users
Kullanıcı hesapları oluşturabilir ve silebilir.

Lokal grup oluşturabilir ve oluşturduğu grup içine üye ekleyip, silebilir.
Yerleşik gruplardan Power Users, Users ve Guests
grublarına üye ekleyebilir, çıkartabilir.
Kaynakları paylaştırabilir, bu paylaştırdığı kaynakları
yönetebilir.       

 Yapamadıkları ise;  
Bir kaynağın sahibini değiştiremez( Take ownership).
Back up ve Restore yapamaz.
Aygıt sürücüleri yükleyemez veya kaldıramazSecurity ve Audit log'larma müdahale edemez.   

Print Operators Users    Print yönetimi ile ilgili işlemleri yapar, ancak local
printer oluşturamaz ve klasör paylaştıramaz.
Domain yapısında; Domain Users,  Authentication
Users ve Interactive Groups bu grubun üyesidir. Onun için Domain içinde oluşturulacak bir kullanıcı, bu grupların üyesi olabilir.

Back up Operators
Sistem dosya ve klasörlerini yedekleme, geri yükleme haklarına sahip kullanıcıları barındırır.

Ayrıca yaygın olarak kullanılmayan, aşağıdaki gruplar da vardır'
Netvvork Configuration Operators
Remote Desktop Users
Replicator
Help Services Group
Terminal Server Users   

 

Domain yapısında kullanılan grupları incelersek:
            Grup     Açıklama
Administrators
Full Control hakkına sahip olan bu grubun kullanıcıları, tüm izin ve grup üyelerini belirleme hakkına yani, sistem üzerinde tam yetkiye sahiptir.
Account Operators       Bu grubun üyelerinin yapabilecekleri;
Domain Controllers OUs'ı dışında bulunan yerlerde kullanıcı, grup ve bilgisayar hesapları oluşturabilir, silebilir ve yapılandırabilir. Ancak Domain Admins ve Administrators gruplarına dokunamazlar.
Domain içindeki bir Domain Controller bilgisayarına lokal olarak log on olabilir ve shut down yapabilir.

Incoming Forest Trust Builders
Pre-Windows 2000 Compatible Access
Server Operators
Bu grubun üyeleri Forest Root Domain içinde, tek yönlü güven ilişkileri oluşturabilirler.
Domain   içindeki   tüm   kullanıcı  ve   grupları  Read Mod'u ile açma hakkı vardır.
Windows NT 4.0 ve öncesi için destek sağlar.
Eğer RAS yapısına bağlanacak bilgisayarlar, NT 4.0 ve öncesi ise bu gruba eklenir.
Kaynak paylaşımı oluşturabilir ve kaldırabilir. Bazı sistem servislerini durdurup, başlatabilir. Back up ve Restore yapabilir.
HardDisk'e format atabilir ve bilgisayarı kapatabilir. (Shut Down)

Domain içinde Users klasöründe bulunan yerleşik gruplar;
Grup     Açıklama         
Domain Controllers        Domain içinde bulunan tüm Domain Controller'i
içerir.

Domain Guests
Domain Users Domain Computers
Domain Adnıiııs
Enterprise Admins
Domain içinde bulunan tüm Domain Guest'leri içerir.
Domain içinde bulunan tüm Domain User'lan içerir.
Domain'e katılan tüm Workstation ve Server'ları içerir.
Bir bilgisayar Domain üyesi olduğu zaman, bu gruba otomatik olarak üye olur.
Bu grup üyeleri, Domain içinde tam yetkiye sahiptir. Administrators grubunun üyesidir. Administrator hesabı, bu grubun üyesidir.
Forest içinde bulunan tüm Domain'lerde, tam yetkiye sahiptir.
Forest içinde bulunan tüm Domain Controller içindeki Administrators grubunun üyesidir.
Administrator hesabı, bu grubun üyesidir. Böylece Forest içindeki tüm Domain üzerinde, tam yetkiye sahip olur.

Group Policy Creator     Domain   içindeki   Group   Policy  yapılandırmasını
Owners yaparlar.
Bunlar dışında aşağıdaki gruplar vardır;
Schema Admins
DnsAdmins
DnsUpdateProxy
Cert Publishers
RAS and IAS Servers

SYSTEM GROUP:

Son olarak, bazı özel sistem grupları vardır. Bu gruplara gerekli izinler verilebilir, ancak yapılandırılmazlar. Yani, üye eklenemez ve silinemez. Kullanıcı oluşturulduğunda, otomatik olarak bu tür gruplara üye olabilir.

System Group
Anonymous Logon
Everyone
Network
Interactive
Açıklama
Bir kullanıcı adı, şifre veya domain adı kullanmadan bilgisayar ve kaynaklarını açmayı sağlayan bu grubun üyeleri; kullanıcı ve servis olabilir.
Windows NT ve öncesi işletim sistemleri ile çalışan bilgisayarlar için Default olarak bu grup, Everyone grubunun üyesidir.
Windows Server 2003 ailesi ile çalışan bilgisayarlar Default olarak bu grubun üyesi değildirler. Eğer bu grup için bir dosya paylaşımı kullandırmak istiyorsak, gruba gerekli hakları vermek gerekir.
Bu grup tüm Network kullanıcılarını, Guest'leri ve diğer Domain kullanıcılarını içerir. Bir kullanıcı, Network içine log on olduğu zaman, otomatik olarak bu grubun üyesi olur.
Bu grubun izinlerine dikkat etmek gerekir. Her hesap bunun üyesi olduğu için istemediğiniz kişiler, istemediğiniz kaynakları açabilir. Bu grubun izinlerini devamlı olarak Read durumunda bırakmak tavsiye edilen bir yöntemdir.
Network üzerindeki kaynakları açmak için, bu grubun üyesi olmak gerekir.
Bir kullanıcı, kaynakları açmak için bir bilgisayara log on olduğu zaman ,otomatik olarak bu gruba eklenir.
Lokal kaynakları açması için, gerekliliği sağlayan grup şeklidir.