Spezielle Identitätsgruppen
Erfahren Sie mehr über spezielle Windows Server-Identitätsgruppen (die auch als Sicherheitsgruppen bezeichnet werden) für die Zugriffssteuerung unter Windows.
Was ist eine spezielle Identitätsgruppe?
Spezielle Identitätsgruppen ähneln den Active Directory-Sicherheitsgruppen in den Containern „Active Directory-Benutzer“ und „BuiltIn“. Spezielle Identitätsgruppen stellen eine effektive Möglichkeit zum Zuweisen des Zugriffs auf Ressourcen in Ihrem Netzwerk dar. Spezielle Identitätsgruppen ermöglichen Ihnen Folgendes:
Zuweisen von Benutzerrechten zu Sicherheitsgruppen in Active Directory
Zuweisen von Berechtigungen zu Sicherheitsgruppen für den Zugriff auf Ressourcen
Funktionsweise spezieller Identitätsgruppen unter Windows Server
Wenn auf einem Server eine der in Gilt für am Anfang dieses Artikels aufgeführten Versionen des Windows Server-Betriebssystems ausgeführt wird, verfügt der Server über mehrere spezielle Identitätsgruppen. Diese speziellen Identitätsgruppen weisen keine spezifischen Mitgliedschaften auf, die Sie ändern können, aber sie können je nach Umständen verschiedene Benutzer zu verschiedenen Zeiten verkörpern.
Sie können einer speziellen Identitätsgruppe zwar Rechte und Berechtigungen für bestimmte Ressourcen zuweisen, aber Sie können die Mitglieder einer speziellen Identitätsgruppe nicht anzeigen oder ändern. Gruppenbereiche gelten nicht für spezielle Identitätsgruppen. Benutzer werden speziellen Identitätsgruppen automatisch zugewiesen, wenn sie sich anmelden oder auf eine bestimmte Ressource zugreifen.
Informationen zu Active Directory-Sicherheitsgruppen und Gruppenbereichen finden Sie unter Active Directory-Sicherheitsgruppen.
Standardmäßige spezielle Identitätsgruppen
Standardmäßige spezielle Identitätsgruppen unter Windows Server werden in der folgenden Liste beschrieben:
- Anonyme Anmeldung
- Eigenschaft „Nachgewiesener Schlüssel“
- Authentifizierte Benutzer
- Von der Authentifizierungsstelle bestätigte Identität
- Batch
- Konsolenanmeldung
- Creator Group (ERSTELLERGRUPPE)
- Ersteller/Besitzer
- DFÜ
- Hashwertauthentifizierung
- Domänencontroller des Unternehmens
- Schreibgeschützte Domänencontroller der Organisation
- Jeder
- Neue Identität für öffentlichen Schlüssel
- Interactive
- IUSR
- Schlüsselbasiertes Vertrauen
- Lokaler Dienst
- LocalSystem
- MFA-Schlüsseleigenschaft
- Network
- Netzwerkdienst
- NTLM-Authentifizierung
- Andere Organisation
- Besitzerrechte
- Prinzipal selbst
- Proxy
- Schreibgeschützte Domänencontroller
- Interaktive Remoteanmeldung
- Eingeschränkt
- SChannel-Authentifizierung
- Service
- Vom Dienst bestätigte ID
- Terminalserverbenutzer
- This Organization (Diese Organisation)
- Fenster-Manager\Fenster-Manager-Gruppe
Anonymous-Anmeldung
Jeder Benutzer, der über eine anonyme Anmeldung auf das System zugreift, hat die Identität „Anonyme Anmeldung“. Diese Identität ermöglicht den anonymen Zugriff auf Ressourcen, z. B. auf eine auf einem Unternehmensserver veröffentlichte Webseite. Die Gruppe „Anonyme Anmeldung“ ist standardmäßig kein Mitglied der Gruppe „Jeder“.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-7 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Eigenschaft „Nachgewiesener Schlüssel“
Ein Sicherheitsbezeichner (Security Identifier, SID), der bedeutet, dass das Schlüsselvertrauensobjekt die Nachweiseigenschaft hatte.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-18-6 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Authentifizierte Benutzer
Jeder Benutzer, der über einen Anmeldeprozess auf das System zugreift, hat die Identität „Authentifizierte Benutzer“. Diese Identität ermöglicht den Zugriff auf freigegebene Ressourcen innerhalb der Domäne, z. B. auf Dateien in einem freigegebenen Ordner, auf den alle Mitarbeiter der Organisation Zugriff haben müssen. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-11 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Auf diesen Computer vom Netzwerk aus zugreifen: SeNetworkLogonRight Hinzufügen von Arbeitsstationen zur Domäne: SeMachineAccountPrivilege Auslassen der durchsuchenden Überprüfung: SeChangeNotifyPrivilege |
Von der Authentifizierungsstelle bestätigte Identität
Eine SID, die bedeutet, dass die Identität des Clients von einer Authentifizierungsstelle auf Grundlage des Nachweises des Besitzes von Anmeldeinformationen des Clients bestätigt wurde.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-18-1 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Batch
Jeder Benutzer oder Prozess, der als Batchauftrag oder über die Batchwarteschlange auf das System zugreift, hat die Identität „Batch“. Diese Identität ermöglicht Batchaufträgen die Ausführung geplanter Aufgaben, wie z. B. einen nächtlichen Bereinigungsauftrag zum Löschen temporärer Dateien. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-3 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Konsolenanmeldung
Eine Gruppe mit Benutzern, die bei der physischen Konsole angemeldet sind. Diese SID dient der Implementierung von Sicherheitsrichtlinien, die unterschiedliche Rechte gewähren, je nachdem, ob einem Benutzer physischer Zugriff auf die Konsole gewährt wird.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-2-1 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Creator Group (ERSTELLERGRUPPE)
Die Person, die eine Datei oder ein Verzeichnis erstellt hat, ist Mitglied dieser speziellen Identitätsgruppe. Das Betriebssystem Windows Server nutzt diese Identität, um dem Ersteller einer Datei oder eines Verzeichnisses automatisch Zugriffsberechtigungen zu erteilen.
Eine Platzhalter-SID wird in einem vererbbaren Zugriffssteuerungseintrag (ACE) erstellt. Wenn der ACE geerbt wird, ersetzt das System diese SID durch die SID der primären Gruppe des aktuellen Besitzers des Objekts. Die primäre Gruppe wird nur vom POSIX-Subsystem verwendet.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-3-1 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Creator Owner (Ersteller-Besitzer)
Die Person, die eine Datei oder ein Verzeichnis erstellt hat, ist Mitglied dieser speziellen Identitätsgruppe. Das Betriebssystem Windows Server nutzt diese Identität, um dem Ersteller einer Datei oder eines Verzeichnisses automatisch Zugriffsberechtigungen zu erteilen. Eine Platzhalter-SID wird in einem vererbbaren ACE erstellt. Wenn der ACE geerbt wird, ersetzt das System diese SID durch die SID des aktuellen Objektbesitzers.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-3-0 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Dialup (DIALUP)
Jeder Benutzer, der über eine DFÜ-Verbindung auf das System zugreift, hat die Identität „DFÜ“. Diese Identität unterscheidet DFÜ-Benutzer von anderen Typen authentifizierter Benutzer.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-1 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Digestauthentifizierung
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-64-21 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Domänencontroller des Unternehmens
Diese Gruppe umfasst alle Domänencontroller in einer Active Directory-Gesamtstruktur. Domänencontroller mit unternehmensweiten Rollen und Zuständigkeiten haben die Identität „Unternehmensdomänencontroller“. Mit dieser Identität können Domänencontroller bestimmte Aufgaben mithilfe transitiver Vertrauensstellungen im Unternehmen ausführen. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-9 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Auf diesen Computer vom Netzwerk aus zugreifen: SeNetworkLogonRight Lokal anmelden zulassen: SeInteractiveLogonRight |
Schreibgeschützte Domänencontroller der Organisation
Diese Gruppe enthält alle schreibgeschützten Domänencontroller (RODC) in einer Active Directory-Gesamtstruktur. Ein Enterprise RODC kann eine größere Teilmenge der Active Directory-Datenbank replizieren, einschließlich des globalen Katalogs und schreibgeschützter Domänenpartitionen für alle Domänen in der Gesamtstruktur. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-RootDomain-498<> |
| Objektklasse | Group |
| Standardspeicherort in Active Directory | CN=Users, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Jeder
Alle interaktiven, Netzwerk-, DFÜ- und authentifizierten Benutzer sind Mitglieder der Gruppe „Jeder“. Diese spezielle Identitätsgruppe bietet umfassenden Zugriff auf Systemressourcen. Wenn sich ein Benutzer beim Netzwerk anmeldet, wird er automatisch der Gruppe „Jeder“ hinzugefügt. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
Für Computer, auf denen Windows 2000 und frühere Versionen ausgeführt werden, war die Gruppe „Anonymous-Anmeldung“ Standardmitglied der Gruppe „Jeder“. Ab Windows Server 2003 enthält die Gruppe „Jeder“ nur authentifizierte und Gastbenutzer. Die Gruppe enthält „Anonymous-Anmeldung“ standardmäßig nicht mehr. Um die Einstellung für die Gruppe „Jeder“ so zu ändern, dass sie die Gruppe „Anonymous-Anmeldung“ einschließt, wechseln Sie im Registrierungs-Editor zum Schlüssel Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, und legen Sie den DWORD-Wert everyoneincludesanonymous auf 1 fest.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-1-0 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Auf diesen Computer vom Netzwerk aus zugreifen: SeNetworkLogonRight Auslassen der durchsuchenden Überprüfung: SeChangeNotifyPrivilege |
Neue Identität für öffentlichen Schlüssel
Eine SID, die bedeutet, dass die Identität des Clients von einer Authentifizierungsstelle auf Grundlage des Nachweises des aktuellen Besitzes von Anmeldeinformationen in Form des öffentlichen Schlüssels des Clients bestätigt wurde.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-18-3 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Interactive
Jeder Benutzer, der beim lokalen System angemeldet ist, hat die Identität „Interaktiv“. Diese Identität ermöglicht ausschließlich lokalen Benutzern den Zugriff auf eine Ressource. Wenn ein Benutzer auf eine bestimmte Ressource auf dem Computer zugreift, bei dem er aktuell angemeldet ist, wird er automatisch der Gruppe „Interaktiv“ hinzugefügt. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-4 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
IUSR
IIS (Internetinformationsdienste) verwendet dieses Konto standardmäßig, wenn die anonyme Authentifizierung aktiviert ist.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-17 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Schlüsselbasiertes Vertrauen
Eine SID, die bedeutet, dass die Identität des Clients auf dem Nachweis des Besitzes von Anmeldeinformationen für öffentliche Schlüssel unter Verwendung des Objekts „Schlüsselbasiertes Vertrauen“ basiert.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-18-4 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Lokaler Dienst
Das Konto „Lokaler Dienst“ ähnelt dem Konto „Authentifizierter Benutzer“. Mitglieder des Kontos „Lokaler Dienst“ haben die gleiche Ebene des Zugriffs auf Ressourcen und Objekte wie Mitglieder der Gruppe „Benutzer“. Durch diesen eingeschränkten Zugriff kann das System geschützt werden, falls einzelne Dienste oder Vorgänge gefährdet sind. Bei Diensten, die unter dem Konto „Lokaler Dienst“ ausgeführt werden, erfolgt der Zugriff auf Netzwerkressourcen als NULL-Sitzung mit anonymen Anmeldeinformationen. Der Name des Kontos lautet NT AUTHORITY\LocalService. Dieses Konto hat kein Kennwort.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-19 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Anpassen von Speicherkontingenten für einen Prozess: SeIncreaseQuotaPrivilege Auslassen der durchsuchenden Überprüfung: SeChangeNotifyPrivilege Ändern der Systemzeit: SeSystemtimePrivilege Ändern der Zeitzone: SeTimeZonePrivilege Erstellen globaler Objekte: SeCreateGlobalPrivilege Generieren von Sicherheitsüberwachungen (SeAuditPrivilege) Annehmen der Clientidentität nach Authentifizierung (SeImpersonatePrivilege) Ersetzen eines Tokens auf Prozessebene (SeAssignPrimaryTokenPrivilege) |
LocalSystem
Das Konto LocalSystem ist ein vom Betriebssystem verwendetes Dienstkonto. Das Konto LocalSystem ist ein leistungsstarkes Konto mit Vollzugriff auf das System und agiert als der Computer im Netzwerk. Wenn sich ein Dienst auf einem Domänencontroller beim Konto LocalSystem anmeldet, hat dieser Dienst Zugriff auf die gesamte Domäne. Einige Dienste sind standardmäßig so konfiguriert, dass sie sich beim Konto LocalSystem anmelden. Ändern Sie die Standarddiensteinstellung nicht. Der Name des Kontos ist LocalSystem. Dieses Konto hat kein Kennwort.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-18 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
MFA-Schlüsseleigenschaft
Eine SID, die bedeutet, dass das Objekt „Schlüsselbasiertes Vertrauen“ über die MFA-Eigenschaft (Multi-Factor Authentication) verfügt.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-18-5 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Netzwerk
Diese Gruppe enthält implizit alle Benutzer, die über eine Netzwerkverbindung angemeldet sind. Benutzer, die über ein Netzwerk auf das System zugreifen, haben die Identität „Netzwerk“. Diese Identität ermöglicht ausschließlich Remotebenutzern den Zugriff auf eine Ressource. Wenn ein Benutzer über das Netzwerk auf eine bestimmte Ressource zugreift, wird der Benutzer automatisch zur Gruppe „Netzwerk“ hinzugefügt. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-2 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Netzwerkdienst
Das Konto „Netzwerkdienst“ ähnelt dem Konto „Authentifizierter Benutzer“. Mitglieder des Kontos „Netzwerkdienst“ haben die gleiche Ebene des Zugriffs auf Ressourcen und Objekte wie Mitglieder der Gruppe „Benutzer“. Durch diesen eingeschränkten Zugriff kann das System geschützt werden, falls einzelne Dienste oder Vorgänge gefährdet sind. Dienste, die unter dem Konto Netzwerkdienste ausgeführt werden, können mithilfe der Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zugreifen. Der Name des Kontos lautet „NT-AUTORITÄT\NETZWERKDIENST“. Dieses Konto hat kein Kennwort.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-20 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Anpassen von Speicherkontingenten für einen Prozess: SeIncreaseQuotaPrivilege Auslassen der durchsuchenden Überprüfung: SeChangeNotifyPrivilege Erstellen globaler Objekte: SeCreateGlobalPrivilege Generieren von Sicherheitsüberwachungen (SeAuditPrivilege) Annehmen der Clientidentität nach Authentifizierung (SeImpersonatePrivilege) Ersetzen eines Tokens auf Prozessebene (SeAssignPrimaryTokenPrivilege) |
NTLM-Authentifizierung
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-64-10 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Andere Organisation
Diese Gruppe schließt implizit alle Benutzer ein, die über eine DFÜ-Verbindung beim System angemeldet sind. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-1000 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Besitzerrechte
Die Gruppe „Besitzerrechte“ stellt den aktuellen Besitzer des Objekts dar. Wenn ein ACE, der diese SID trägt, auf ein Objekt angewendet wird, ignoriert das System die impliziten Berechtigungen READ_CONTROL und WRITE_DAC für den Objektbesitzer.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-3-4 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Prinzipal selbst
Diese Identität ist ein Platzhalter in einem ACE für ein Benutzer-, Gruppen- oder Computerobjekt in Active Directory. Wenn Sie „Prinzipal selbst“ Berechtigungen erteilen, erteilen Sie Berechtigungen dem Sicherheitsprinzipal, der vom Objekt repräsentiert wird. Während einer Zugriffsüberprüfung ersetzt das Betriebssystem die SID für „Prinzipal selbst“ durch die SID für den Sicherheitsprinzipal, der vom Objekt repräsentiert wird.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-10 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Proxy
Identifiziert einen SECURITY_NT_AUTHORITY-Proxy.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-8 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Read-only-Domänencontroller
Diese Gruppe enthält alle RODCs in der Domäne mit schreibgeschützten Rechten für die Active Directory-Datenbank. Mit Ausnahme von Konto-Kennwörtern enthält ein RODC alle Active Directory-Objekte und Attribute, die ein schreibbarer Domänencontroller enthält. Sie ermöglicht die Bereitstellung von Domänencontrollern, wenn die physische Sicherheit nicht ausreichend oder nicht gewährleistet ist. RODCs sind explizite Mitglieder dieser Gruppe.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-21-<Domäne>-521 |
| Objektklasse | Group |
| Standardspeicherort in Active Directory | CN=Users, DC=<rootDomain> |
| Standardbenutzerrechte | Keine |
Hinweis
Die Abgelehnte RODC-Kennwortreplikationsgruppe wird automatisch erstellt, wenn ein RODC-Konto in der Gesamtstruktur erstellt wird. Kennwörter können nicht in „Abgelehnte RODC-Kennwortreplikationsgruppe“ repliziert werden.
Interaktive Remoteanmeldung
Diese Identität repräsentiert alle Benutzer, die derzeit über eine RDP-Verbindung (Remotedesktopprotokoll) bei einem Computer angemeldet sind. Diese Gruppe ist eine Teilmenge der Gruppe „Interaktiv“. Zugriffstoken, die die SID der interaktiven Remoteanmeldung enthalten, enthalten auch die interaktive SID.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-14 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Eingeschränkt
Benutzer und Computer mit eingeschränkten Funktionen haben die Identität „Eingeschränkt“. Diese Identitätsgruppe wird von einem Prozess verwendet, der in einem eingeschränkten Sicherheitskontext ausgeführt wird, z. B. bei der Ausführung einer Anwendung mit dem RunAs-Dienst. Wenn Code auf der Sicherheitsebene „Eingeschränkt“ ausgeführt wird, wird die eingeschränkte SID dem Zugriffstoken des Benutzers hinzugefügt.
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-12 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
SChannel-Authentifizierung
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-64-14 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Dienst
Jeder Dienst, der auf das System zugreift, hat die Identität „Dienst“. Diese Identitätsgruppe umfasst alle Sicherheitsprinzipale, die als Dienst angemeldet sind. Diese Identität gewährt Zugriff auf Prozesse, die von Windows Server-Diensten ausgeführt werden. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-6 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Erstellen globaler Objekte: SeCreateGlobalPrivilege Annehmen der Clientidentität nach Authentifizierung (SeImpersonatePrivilege) |
Vom Dienst bestätigte ID
Eine SID, die bedeutet, dass die Identität des Clients von einem Dienst bestätigt wurde.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-18-2 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Terminalserverbenutzer
Jeder Benutzer, der über Terminaldienste auf das System zugreift, hat die Identität „Terminalserverbenutzer“. Mit dieser Identität können Benutzer auf Terminalserveranwendungen zugreifen und andere erforderliche Aufgaben mit Terminalserverdiensten ausführen. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-13 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
This Organization (Diese Organisation)
| attribute | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-15 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Keine |
Fenster-Manager\Fenster-Manager-Gruppe
| Attribut | Wert |
|---|---|
| Gut bekannte SID/RID | S-1-5-90 |
| Objektklasse | Fremder Sicherheitsprinzipal |
| Standardspeicherort in Active Directory | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| Standardbenutzerrechte | Auslassen der durchsuchenden Überprüfung: SeChangeNotifyPrivilege Arbeitssatz eines Prozesses vergrößern: SeIncreaseWorkingSetPrivilege |