Система безопасности локальных групп в Windows работает с помощью менеджера учётных записей безопасности (Security Account Manager, SAM). 2

Локальные группы можно условно разделить на два типа: 2

1. Встроенные (BuiltIn). 2 Группы, которые имеются в операционной системе по умолчанию, например группа Administrators. 2
2. Дополнительно созданные. 2 Группы, которые создаются вручную для предоставления доступа к локальным ресурсам, например общим папкам. 2

Каждая учётная запись, добавленная в группу, получает права, назначенные этой группе в Active Directory. 3 Пользователь получает разрешения, определённые для этой группы. 3

Некоторые группы и их функции:

• Администраторы. 4 Полные права на систему. 4
• Пользователи. 4 Возможность пользоваться без изменения системных параметров и без записи в системные разделы. 4
• Операторы архива. 4 Группа, предназначенная для выполнения резервного копирования и восстановления. 4
• Опытные пользователи. 4 Участники этой группы могут администрировать локальные учётные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки). 4
• Пользователи удалённого рабочего стола. 4 Членство даёт возможность подключаться к компьютеру по RDP. 4
• Операторы печати. 4 Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати. 4
• Операторы настройки сети. 4 Могут менять настройки сетевых интерфейсов. 4
• Операторы учёта. 4 Пользователи в этой группе могут создавать, удалять, редактировать и перемещать учётные записи в Active Directory. 4

Для улучшения безопасности локальных администраторов в Windows 11 есть функция Local Administrator Protection. 1 Она устраняет постоянные административные привилегии и использует скрытый механизм повышения привилегий для предоставления прав по мере необходимости. 1