Что такое локальная группа
Группы могут быть малыми и большими, локальными и дислокальными
Локальные группы – предполагают обязательное физическое присутствие входящих в них индивидов в одном месте и в одно и то же время (например, фокус-группа или группа испытуемых в социально- психологическом эксперименте).
Примером дислокальных групп могут являться радиолюбители, осуществляющие связь на любительских частотах и выступающих под собственными кодами
Большие группы могут состоять из нескольких сотен человек (не менее 200-300), верхний предел численности не определен. Реально максимально большой социальной группой является общество, то есть группа, насчитывающая порядка миллиона или десятков миллионов человек. Наиболее часто социологи изучают большие социальные группы численностью от нескольких тысяч до нескольких сотен тысяч человек. Кроме того, большая группа – это такая группа, в которой отдельные ее члены в принципе не могут быть лично знакомы друг с другом.
К большим социальным группам относят устойчивые совокупности значительного количества людей, действующие совместно в социально значимых ситуациях и функционирующие в масштабах страны (государства) или их объединений. К ним можно отнести классы, социальные слои, профессиональные группы, этнические объединения (народность, нация, раса) или демографические объединения (группы мужчин, женщин, молодежи, пенсионеров и т.д.). Принадлежность индивидов к данной разновидности социальных групп определяется на основе определенной совокупности социально значимых признаков – классовая принадлежность, содержание и характер крупномасштабной социальной деятельности, демографические показатели, принадлежность к основным религиозным конфессиям и т.д. Члены этих групп, в силу их многочисленности, могут быть разъединены во времени и в пространстве и не вступать в непосредственное общение друг с другом, но, тем не менее, в силу ряда объединяющих факторов, они составляют именно групповую общность. Особое значение имеют те признаки, которые придают группе классовый характер.
Средние группы включают от несколько десятков до нескольких сотен человек, где каждый в принципе может знать каждого другого входящего в группу человека в лицо, но не может отследить реакцию каждого из них на отдельный элемент своего поведения – для этого группа слишком велика.
Другими словами, малыми группами называются только те группы, в которых индивиды имеют личностные контакты каждый с каждым.
Каждый член данной группы может непосредственно контактировать с любым другим членом той же группы; в частности, он всегда может среагировать на поведение любого из членов, и, в свою очередь, наблюдать, как реагирует на его поведение каждый член группы. Таким образом, в малой группе существует постоянно действующая система прямой и обратной связи между каждым и каждым членом (семья, компания друзей, соседская общность, школьный класс, студенческая группа, спортивная команда, бригада рабочих, первичный воинский коллектив и т.д.).
2. Группы, разделяемые по признаку принадлежности к ним индивида.Большое влияние на нас оказывают не только группы, к которым мы непосредственно принадлежим, но и группы, в которые мы не входим. В соответствии с этим социологи проводят грань между внутренними группами (ингруппами) и внешними (аутгруппами).
Ингруппа – это группа, с которой индивид идентифицирует себя и к которой он принадлежит. Это может быть «моя семья», «моя профессиональная группа», «моя компания», «мой класс».
В современном обществе индивид принадлежит одновременно к многим группам, поэтому большое число ингрупповых и аутгрупповых связей может перекрещиваться.
Студент более старшего курса будет рассматривать студента младшего курса как индивида, принадлежащего к аутгруппе, но студент младшего курса вместе со студентом старшего курса могут быть членами одной спортивной команды, где они входят в ингруппу.
Невозможно понять многие повторяющиеся в истории жестокие поступки без понимания ингрупповых и аутгрупповых отношений. Различение и отделение ингруппы и аутгруппы делают психологически возможным даже для хороших и гуманных людей совершать жестокие поступки.
Стереотипы постоянно изменяются. Бедно одетый, испачканный мелом школьный учитель как частный стереотип фактически умер. Исчез также достаточно устойчивый стереотип капиталиста в цилиндре и с огромным животом.
Референтные группы. Термин «референтная группа» означает реальную или условную социальную общность, с которой индивид соотносит себя, как с эталоном, и на нормы, мнения, ценности и оценки которой он ориентируется в своем поведении и самооценке. Сам термин родился от английского глаголаto refer,т.е. ссылаться на что-либо.
Пример: мальчик, играя на гитаре или занимаясь спортом, ориентируется на образ жизни и поведение рок-звезд или спортивных кумиров. Работник в организации, стремясь сделать карьеру, ориентируется на поведение высшего руководства. Можно заметить также, что честолюбивые люди, неожиданно получившие много денег, стремятся подражать в одежде и манерах представителям высших классов.
Референтные группы можно классифицировать по разным основаниям:
ü по выполняемым функциям — нормативная и сравнительная референтные группы;
ü по природе своего существования — реальные референтные группы и идеальные референтные группы;
ü в соответствии с согласием либо отрицанием индивидом норм и ценностей группы — положительные (позитивные) и отрицательные (негативные) референтные группы.
Нормативная референтная группа выступает источником стандартов и норм поведения, социальных установок и ценностных ориентаций индивида.
Например, эмигрант, приехавший в другую страну, для того чтобы не быть «белой вороной», пытается как можно быстрее освоить нормы, правила и установки жителей данной страны.
Сравнительная референтная группа выступает в качестве эталона, с помощью которого индивид может оценить себя и других.
Вспомните, что мы говорили о концепции зеркального «Я». Ч. Кули, отмечал, что если ребенок воспринимает реакцию близких и верит их оценкам, то более зрелый человек отбирает отдельные референтные группы, принадлежность или непринадлежность к которым для него особенно желательна, и формирует «Я»- образ, основываясь на оценках этих групп.
Управление группами и организационными единицами
В этой лекции описывается действие групп и организационных единиц, а также их использование для администрирования и защиты вашего предприятия.
Группы Windows Server 2003
Группы безопасности для доменов можно классифицировать по типу и области действия, например, domain local (локальные в домене), global (глобальные) и universal (универсальные), и в данной лекции будут описаны эти отличия.
Локальные группы
Кроме этой вставки, я не буду тратить время на описание групп рассылки в этой лекции (и в этом курсе). Группа рассылки используется исключительно для рассылки электронной почты, и только такими приложениями электронной почты, как Microsoft Exchange Server. Группа рассылки не имеет никакого отношения к безопасности, и на нее не может быть никаких ссылок в дискреционных списках управления доступом ( DACL ), когда вы задаете полномочия по ресурсам.
Вы можете включать членов в используемые по умолчанию группы безопасности. Вы можете также создавать новые локальные группы для данного компьютера, если хотите предоставить определенной группе пользователей определенные права на выполнение задач, которые не охватываются группой по умолчанию.
Помните, что локальные группы используются, чтобы предоставлять их членам права на выполнение действий на локальном компьютере. В большинстве случаев ваш компьютер Windows Server 2003 исполняет определенную роль в домене, и обычно на таком компьютере не задают сложный набор пользователей и групп для работы с данным компьютером.
Помните также, что группы предназначены для того, чтобы ограничивать действия пользователей на сервере, а не предоставлять право на выполнение операций. Большинство локальных групп не содержит членов, но это не означает, что никто не сможет выполнять задачи, разрешаемые членством в этих группах, а просто значит, что нет пользователей, права которых ограничены этой группой. Члены групп с более широкими правами (например, Administrators) уже имеют право на выполнение таких задач.
Локальные группы по умолчанию
Вы можете видеть группы по умолчанию в папке Groups в оснастке MMC Local Users and Groups (Локальные пользователи и группы), см. рис. 11.1. Чтобы открыть эту оснастку, щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Manage (Управление). Затем раскройте в дереве консоли объект Local Users and Groups и выберите объект Groups.
Следующие локальные группы имеются на рядовом сервере, работающем под управлением Windows Server 2003.
Добавление членов в локальные группы
Вы можете добавлять объекты в любую группу. Этими объектами могут быть локальные пользователи, доменные пользователи или даже другие локальные или доменные группы. Для добавления членов в группу выполните следующие шаги.
При непосредственном вводе имен щелкните на кнопке Check Names (Проверка имен), чтобы убедиться в правильности их ввода. Вы можете вводить имена входа пользователей, и система преобразует их в полностью уточненные доменные имена ( FQDN ).
По окончании добавления членов щелкните на кнопке OK. Появится список членов группы в ее собственном диалоговом окне Properties (см. рис. 11.2).
Создание локальных групп
Если вы используете свой компьютер Windows Server 2003 для какой-то специальной функции или приложения, то вам может потребоваться активизация специальных полномочий для выполнения соответствующих задач. Обычно имеет смысл создать группу для этих задач и включить в нее соответствующих членов. Для большинства ролей, которые вы можете назначить компьютеру, система автоматически создает группу для администрирования соответствующей роли. Например, если вы делаете компьютер сервером DHCP, то на компьютере добавляются соответствующие группы.
Чтобы создать новую группу, откройте оснастку Computer Management, используя шаги, описанные в предыдущем разделе. Щелкните правой кнопкой на контейнере Groups и выберите в контекстном меню пункт New Group. В диалоговом окне New Group введите имя и описание и затем щелкните на кнопке Add, чтобы включить членов в эту группу.
Щелкните на кнопке Create (Создать), чтобы добавить эту группу на данном компьютере. Появится новое пустое диалоговое окно New Group, чтобы вы могли создать еще одну группу. Закончив создание локальных групп, щелкните на кнопке Close (Закрыть).
Группы пользователей в Windows — локальные пользователи и группы
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Создание группы в Windows.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.
Управление группами и организационными единицами
Доменные группы
Доменные группы являются частью Active Directory и могут находиться в корневом домене леса, в любом домене леса или в организационной единице (OU). Компьютер Windows Server 2003, который является контроллером домена (DC), автоматически создает группы по умолчанию для домена. Вы администрируете доменные группы в оснастке Active Directory Users and Computers, которая вызывается из меню Administrative Tools данного DC.
Вы можете управлять доменными группами, добавляя членов в существующие группы или создавая новые группы с использованием тех же процедур, что и для локальных групп.
Описание областей действия групп
В Windows Server 2003 группы характеризуются областью действия (scope), которая описывает пределы применения группы в дереве доменов или в лесу. Существуют три области действия групп: глобальная (global), локальная в домене (domain local) и universal (универсальная).
Глобальные группы
Если вы переходите к Windows Server 2003 из Windows N T, то понятие глобальной группы не является для вас чем-то новым. Глобальные группы могут содержать пользовательские учетные записи из домена, а также другие глобальные группы из этого домена. Кроме того, вы можете поместить глобальную группу в локальную группу для рядового сервера того же домена или любого доверяемого домена.
Это означает, что вы можете использовать глобальную группу как средство для «перемещающейся армии администраторов». Включите в глобальную группу нужных членов и затем поместите эту группу в локальную группу на компьютере данного домена или доверяемого домена, чтобы члены этой группы могли администрировать рядовые серверы (или, аналогичным образом, рабочие станции).
Локальные в домене группы
Локальные в домене группы были введены в Windows 2000. В них можно включать пользовательские учетные записи, а также другие локальные в домене группы из того же домена. Вы можете использовать эти группы для назначения полномочий внутри домена.
Поскольку эта область действия основывается полностью на одном домене, она является менее гибкой, чем у глобальных групп. На самом деле, я не уверен, что их вообще стоит использовать.
Универсальные группы
С помощью универсальной группы вы можете делать почти все, что хотите.
Это означает, что после включения нужных членов в ваши универсальные группы вы можете управлять всеми частями своего предприятия, давая универсальным группам права на выполнение задач и представляя членам этих групп соответствующие полномочия доступа к ресурсам.
Во-первых, у вас не может быть универсальных групп, пока ваше предприятие работает в смешанном режиме. Смешанный режим означает, что на вашем предприятии еще остались контроллеры домена Windows NT, а в Windows NT нет средств для работы с этой областью действия. Я считаю, что наиболее веским доводом в пользу модернизации ваших DC Windows NT является необходимость использования универсальных групп. Имеется два режима, уровень которых выше смешанного режима.
Во-вторых, способ, посредством которого универсальные группы реплицируются на контроллеры домена вашего предприятия, может создавать определенные проблемы. Если вы реплицируете универсальную группу на контроллеры домена, которые содержат глобальный каталог (обычно один в каждом сайте), то реплицируются как имена групп, так и имена всех членов каждой группы. Если у вас имеются вложенные универсальные группы, то репликация может занимать очень много времени (если репликация происходит через медленные соединения). Поэтому используйте универсальные группы разумным образом, чтобы получать наилучшие результаты.
В отличие от универсальных групп репликация глобальных групп включает в себя только имя группы, и она ограничена только собственным доменом этой группы. Локальные в домене группы не реплицируются вообще (по моему мнению, это еще одна причина, по которой стоит воздерживаться от их использования).
Изменение областей действия
Если вы создаете группу, то это по умолчанию глобальная группа. Если ваше предприятие работает не в смешанном режиме, то вы можете изменить область действия создаваемой группы следующим образом.
Доменные группы по умолчанию
Если вы устанавливаете Active Directory на компьютере Windows Server 2003 (создаете DC), то система автоматически устанавливает ряд групп. Используйте оснастку Active Directory Users and Computers для просмотра и управления доменными группами.
Группы, находящиеся в контейнере Builtin
В этом разделе дается краткий обзор групп, находящихся в контейнере Builtin. Ваш собственный домен может содержать и другие группы в зависимости от конфигурации домена или контроллера домена.
Account Operators (Операторы учетных записей).Члены этой группы могут создавать, удалять и управлять учетными записями для пользователей, групп и компьютеров, находящихся в контейнере Users, в контейнере Computers и в организационных единицах (OU), но не во встроенной OU Domain Controllers. Однако члены этой группы не могут вносить изменения в группы Administrators и Domain Admins, а также не могут изменять учетные записи любых членов этих групп. Члены этой группы могут выполнять локальный вход на все DC данного домена, а также могут завершать работу этих DC.
Administrators (Администраторы).Члены этой группы имеют полный доступ (full control) ко всем DC в домене. По умолчанию учетная запись Administrator, группа Enterprise Admins (Администраторы предприятия) и группа Domain Admins являются членами этой группы.
Guests (Гости).Члены этой группы не имеют никаких прав по умолчанию. Учетная запись Guest (она отключена по умолчанию) и группа Domain Guests (в контейнере Users) являются членами этой группы.
Incoming Forest Trust Builders (Создатели входящих доверительных отношений леса).
Эта группа появляется только в корневом домене леса. Члены этой группы могут создавать односторонние входящие доверительные отношения леса с корневым доменом леса.
Network Configuration Operators (Операторы сетевой конфигурации).Члены этой группы могут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождать IP-адреса на контроллерах домена.
Performance Monitor Users (Пользователи монитора производительности).Члены этой группы могут отслеживать (просматривать) счетчики производительности на контроллерах домена интерактивно или удаленным образом.
Performance Log Users (Пользователи журнала производительности).Члены этой группы могут управлять счетчиками, журналами и оповещениями производительности на контроллерах домена интерактивно или удаленным образом.
Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами до Windows 2000).Члены этой группы могут выполнять доступ ко всем пользователям и группам данного домена. Она используется, чтобы обеспечивать обратную совместимость для компьютеров, работающих под управлением Windows NT версии 4 и более ранних версий. По умолчанию членом этой группы является специальная группа (special identity) Everyone. (Более подробную информацию по специальным группам см. ниже в разделе «Специальные группы».) Добавляйте в эту группу пользователей, только если они работают с Windows NT версии 4 или более ранних версий.
Print Operators (Операторы печати).Члены этой группы могут управлять доменными принтерами.
Remote Desktop Users (Пользователи удаленного рабочего стола).Членам этой группы разрешается удаленный вход на контроллеры данного домена с помощью клиентского ПО Remote Desktop. О возможностях Remote Desktop см. в лекции 3 курса «Администрирование Microsoft Windows Server 2003»
Replicator (Репликатор).Эта группа используется службой репликации File Replication на контроллерах домена. Не включайте пользователей в эту группу.
Server Operators (Операторы сервера).Члены этой группы имеют следующие возможности на контроллерах домена:
Добавляйте в нее только тех пользователей, которые понимают, что они делают.
Users (Пользователи).Члены этой группы могут выполнять большинство типичных задач (запускать приложения, использовать локальные и сетевые принтеры). По умолчанию группы Domain Users и Authenticated Users являются членами этой группы (а это означает, что любая пользовательская учетная запись, которую вы создаете в домене, автоматически становится членом группы Users).
Группы в контейнере Users
Группы, которые описываются в этом разделе, находятся в контейнере Users оснастки Active Directory Users and Computers. В дополнение к этим группам у вас могут быть и другие группы в вашем контейнере Users. Например, если ваш DC является сервером DNS, то у вас будет несколько групп, сконфигурированных для управления DNS.
Cert Publishers (Издатели сертификатов).Члены этой группы могут публиковать сертификаты для пользователей и компьютеров.
Domain Admins (Администраторы доменов).Члены этой группы имеют полный доступ (full control) к домену. По умолчанию эта группа является членом группы Administrators на всех контроллерах домена, на всех рабочих станциях и на всех рядовых серверах в этом домене. Учетная запись Administrator автоматически является членом этой группы, и вам не следует добавлять неопытных и некомпетентных пользователей.
Domain Computers (Компьютеры домена).Эта группа содержит все рабочие станции и рядовые серверы домена.
Domain Controllers (Контроллеры домена).Эта группа содержит все контроллеры данного домена.
Domain Guests (Гости домена).Эта группа содержит всех гостей домена.
Domain Users (Пользователи домена).Эта группа содержит всех пользователей домена, а это означает, что любая пользовательская учетная запись, созданная в домене, являются членом этой группы.
Enterprise Admins (Администраторы предприятия).Эта группа представлена только в корневом домене леса. Члены группы имеют полный доступ ко всем доменам леса, и эта группа является членом группы Administrators на всех контроллерах домена в данном лесу. По умолчанию учетная запись Administrator является членом этой группы, и вам не следует добавлять пользователей, не имеющих опыта и компетенции в вопросах управления сетью предприятия.
Group Policy Creator Owners (Владельцы-создатели групповых политик).Члены этой группы могут изменять групповые политики в домене. По умолчанию учетная запись Administrator является членом этой группы, и вам следует добавлять только тех пользователей, которые понимают возможности и последствия применения групповых политик.
Специальные группы
В вашем домене имеются также группы, с которыми вы не можете работать. Вы не можете видеть или изменять членство в этих группах и не можете видеть такую группу в оснастке Active Directory Users and Computers; эти группы не имеют области действия. Вы можете видеть эти группы, только когда задаете полномочия по сетевым ресурсам.
Эти группы называются специальными группами (special identities),и Windows использует их для представления различных пользователей в различных случаях в зависимости от обстоятельств. Членство в этих группах является временным и недолгим. Например, группа Everyone представляет всех текущих пользователей, выполнивших вход в сеть, включая гостей и пользователей из других доменов.